【CVE番号】
CVE-2023-42788
【対象機器/バージョン】
FortiManager
7.4.0
7.2.3, 7.2.2, 7.2.1, 7.2.0
7.0.8, 7.0.7, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0
6.4.12, 6.4.11, 6.4.10, 6.4.9, 6.4.8, 6.4.7, 6.4.6, 6.4.5, 6.4.4, 6.4.3, 6.4.2, 6.4.1, 6.4.0
6.2.11, 6.2.10, 6.2.9, 6.2.8, 6.2.7, 6.2.6, 6.2.5, 6.2.4, 6.2.3, 6.2.2, 6.2.1, 6.2.0
FortiAnalyzer
7.4.0
7.2.3, 7.2.2, 7.2.1, 7.2.0
7.0.8, 7.0.7, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0
6.4.12, 6.4.11, 6.4.10, 6.4.9, 6.4.8, 6.4.7, 6.4.6, 6.4.5, 6.4.4, 6.4.3, 6.4.2, 6.4.1, 6.4.0
6.2.11, 6.2.10, 6.2.9, 6.2.8, 6.2.7, 6.2.6, 6.2.5, 6.2.4, 6.2.3, 6.2.2, 6.2.1, 6.2.0
【影響】
FortiManagerおよびFortiAnalyzerのOSコマンドの脆弱性で使用される特殊な要素が不適切に無効化
されているため、権限の低いローカル攻撃者が、CLIコマンドへの特別に作成された引数を介して
不正なコードを実行できる可能性があります。
【対策】
以下のバージョンへのアップグレードを実施して下さい。
FortiManager
ver.7.4.1 以降
ver.7.2.4 以降
ver.7.0.9 以降
ver.6.4.13 以降
ver.6.2.12 以降
FortiAnalyzer
ver.7.4.1 以降
ver.7.2.4 以降
ver.7.0.9 以降
ver.6.4.13 以降
ver.6.2.12 以降
最新の情報は以下のリンク先にてご確認ください。
■FortiManager / FortiAnalyzer - OS command injection
https://www.fortiguard.com/psirt/FG-IR-23-167