Fortinet FortiWLMで致命的な脆弱性(CVE-2023-34990)
Fortinet FortiWLMで致命的な脆弱性 CVE-2023-34990と脆弱性 CVE-2024-50570など複数の脆弱性に関する緊急勧告をしています。
目次
CVE-2023-34990の影響を受ける製品とバージョン、対策
Version | 影響を受けるバージョン | 解決策 |
FortiWLM 8.6 | 8.6.0 から 8.6.5 |
8.6.6以上にアップグレード
|
FortiWLM 8.5 | 8.5.0 から 8.5.4 |
8.5.5以上にアップグレード
|
脆弱性CVE-2023-34990の概要
CVSS スコア 9.8 とされており、対象者はアップデートする事をお勧めします。
相対パス トラバーサルの問題に起因しており、攻撃者が機密情報に不正にアクセスできるようになります。 この脆弱性はHorizon3.ai のセキュリティ研究者 Zach Hanley 氏によって発見されましたが、この研究者はブログで技術的な詳細を公開しました。
CVE-2024-50570の影響を受ける製品とバージョン、対策
Version | 影響を受けるバージョン | 対策 |
FortiManager 7.6 | 7.6.0 |
7.6.1以上にアップグレード
|
FortiManager 7.4 | 7.4.0 through 7.4.4 |
7.4.5以上にアップグレード
|
FortiManager 7.4 | Cloud 7.4.1 through 7.4.4 |
7.4.5以上にアップグレード
|
FortiManager 7.2 | 7.2.3 through 7.2.7 |
7.2.8以上にアップグレード
|
FortiManager 7.2 | Cloud 7.2.1 through 7.2.7 |
7.2.8以上にアップグレード
|
FortiManager 7.0 | 7.0.5 through 7.0.12 |
7.0.13以上にアップグレード
|
FortiManager 7.0 | Cloud 7.0.1 through 7.0.12 |
7.0.13以上にアップグレード
|
FortiManager 6.4 | 6.4.10 through 6.4.14 |
6.4.15以上にアップグレード
|
脆弱性 CVE-2024-50570の概要
機密情報のクリアテキスト保存の脆弱性[CWE-312]により、JavaScriptのガベージコレクターにより、ローカル認証ユーザーがメモリダンプを介してVPNパスワードを取得できるようになる可能性があり