「FortiOS」に複数脆弱性 - アップデートで修正
Fortinetは現地時間2026年7月14日、同社セキュリティ機器向けOS「FortiOS」に複数の脆弱性が見つかり、順次対処を進めていることを明らかにした。
各社が定例のセキュリティアップデートを公開する米時間毎月第2火曜日、いわゆる「パッチチューズデー」に6件のアドバイザリを公開したもの。脆弱性によっては「FortiOS」にくわえて「FortiPAM」「FortiProxy」なども影響を受けるとし、アップデートの提供状況や緩和策などを示した。
6件のうち4件については重要度を「中(Medium)」とし、2件を「低(Low)」と評価。今回公開されたアドバイザリに「クリティカル(Critical)」や「高(High)」とされるものは含まれていない。
具体的には、「エージェントレスSSL VPN」のウェブページにおける反射型クロスサイトスクリプティング(XSS)の脆弱性「CVE-2026-23573」や、ログレポート機能においてスタックベースのバッファオーバーフローが発生する「CVE-2026-59837」に対応した。
コマンドラインインタフェースにおけるパストラバーサルの脆弱性「CVE-2026-59839」では、高い権限を持ち、物理的なアクセスが行える場合にルートファイルシステムを削除することが可能となる。
「CVE-2025-43892」「CVE-2026-59840」は、「authd」「wad」のバッファを多く読み込み、デバイスメモリの一部が漏洩する脆弱性。さらに「CVE-2025-62675」「CVE-2025-62826」では、特定条件下でHTTPヘッダを挿入されるおそれがある。
(Security NEXT - 2026/07/17 )
ツイート
関連リンク
PR
関連記事
「Microsoft Defender」に権限昇格の脆弱性 - 修正を実施
「Firefox」にクリティカル脆弱性 - 攻撃コード公開、悪用は未確認
「nginx」に複数脆弱性、「クリティカル」も - 修正版を公開
「Dell PowerFlex」に深刻な脆弱性 - 6月の更新で修正済み
米CISA、「FortiSandbox」「SharePoint」の脆弱性悪用を警告
「SAP」が月例更新、16件の新規アドバイザリ - 3件が「クリティカル」
「Oracle EBS」やビル設備向けプロトコルの脆弱性を悪用する攻撃
「Veeam Updater」に権限昇格の脆弱性 - root権限取得のおそれ
Windows版「Zoom」に深刻な脆弱性 - 最新版で修正済み
米セキュリティ当局、5件の悪用脆弱性に注意喚起
