【CVE番号】
CVE-2022-27488
【重要度】
HIGH
【対象機器/バージョン】
FortiMail
7.0.0 ~ 7.0.3
6.4.0 ~ 6.4.6
6.2 全てのバージョン
6.0 全てのバージョン
FortiNDR
7.1.0
7.0.0 ~ 7.0.4
1.5 全てのバージョン
1.4 全てのバージョン
1.3 全てのバージョン
1.2 全てのバージョン
1.1 全てのバージョン
FortiSwitch
7.0.0 ~ 7.0.4
6.4.0 ~ 6.4.10
6.2 全てのバージョン
6.0 全てのバージョン
FortiRecorder
6.4.0 ~ 6.4.2
6.0.0 ~ 6.0.11
2.7 全てのバージョン
2.6 全てのバージョン
【影響】
FortiMail、FortiNDR、FortiRecorder、FortiSwitch、FortiVoiceEnterprise のクロスサイトスクリプティング
フォージェリの脆弱性により、リモートの認証されていない攻撃者が認証された管理者をだまして悪意のある
GETリクエストを実行させ、CLI でコマンドを実行できる可能性があります。
【対策】
以下のバージョンへアップグレードを実施して下さい。
FortiMail
7.0.4 以降
6.4.7 以降
FortiNDR
7.1.1 以降
7.0.5 以降
FortiSwitch
7.0.5 以降
6.4.11 以降
FortiRecorder
6.4.3 以降
6.0.12 以降
本内容は12月13日9:00時点のものです。最新の情報は以下のリンク先にてご確認ください。
■FortiMail / FortiNDR / FortiRecorder / FortiSwitch / FortiVoice - Cross-site scripting forgery (CSRF) in HTTPd CLI console
https://www.fortiguard.com/psirt/FG-IR-22-038