Fortinet FortiWLMで致命的な脆弱性(CVE-2023-34990)

Fortinet FortiWLMで致命的な脆弱性 CVE-2023-34990と脆弱性 CVE-2024-50570など複数の脆弱性に関する緊急勧告をしています。

Fortinet FortiWLMで致命的な脆弱性 CVE-2023-34990と脆弱性 CVE-2024-50570など複数の脆弱性に関する緊急勧告をしています。

CVE-2023-34990の影響を受ける製品とバージョン、対策

Version 影響を受けるバージョン 解決策
FortiWLM 8.6 8.6.0 から 8.6.5
8.6.6以上にアップグレード
FortiWLM 8.5 8.5.0 から 8.5.4
8.5.5以上にアップグレード

 

脆弱性CVE-2023-34990の概要

CVSS スコア 9.8 とされており、対象者はアップデートする事をお勧めします。

相対パス トラバーサルの問題に起因しており、攻撃者が機密情報に不正にアクセスできるようになります。 この脆弱性はHorizo​​n3.ai のセキュリティ研究者 Zach Hanley 氏によって発見されましたが、この研究者はブログで技術的な詳細を公開しました。

CVE-2024-50570の影響を受ける製品とバージョン、対策

Version 影響を受けるバージョン 対策
FortiManager 7.6 7.6.0
7.6.1以上にアップグレード
FortiManager 7.4 7.4.0 through 7.4.4
7.4.5以上にアップグレード
FortiManager 7.4 Cloud 7.4.1 through 7.4.4
7.4.5以上にアップグレード
FortiManager 7.2 7.2.3 through 7.2.7
7.2.8以上にアップグレード
FortiManager 7.2 Cloud 7.2.1 through 7.2.7
7.2.8以上にアップグレード
FortiManager 7.0 7.0.5 through 7.0.12
7.0.13以上にアップグレード
FortiManager 7.0 Cloud 7.0.1 through 7.0.12
7.0.13以上にアップグレード
FortiManager 6.4 6.4.10 through 6.4.14
6.4.15以上にアップグレード

脆弱性 CVE-2024-50570の概要

機密情報のクリアテキスト保存の脆弱性[CWE-312]により、JavaScriptのガベージコレクターにより、ローカル認証ユーザーがメモリダンプを介してVPNパスワードを取得できるようになる可能性があり

 

TOPへ