【CVE番号】
CVE-2023-42791
【対象機器/バージョン】
FortiManager
7.4.0
7.2.3, 7.2.2, 7.2.1, 7.2.0
7.0.8, 7.0.7, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0
6.4.12, 6.4.11, 6.4.10, 6.4.9, 6.4.8, 6.4.7, 6.4.6, 6.4.5, 6.4.4, 6.4.3, 6.4.2, 6.4.1, 6.4.0
6.2.11, 6.2.10, 6.2.9, 6.2.8, 6.2.7, 6.2.6, 6.2.5, 6.2.4, 6.2.3, 6.2.2, 6.2.1, 6.2.0
FortiAnalyzer
7.4.0
7.2.3, 7.2.2, 7.2.1, 7.2.0
7.0.8, 7.0.7, 7.0.6, 7.0.5, 7.0.4, 7.0.3, 7.0.2, 7.0.1, 7.0.0
6.4.12, 6.4.11, 6.4.10, 6.4.9, 6.4.8, 6.4.7, 6.4.6, 6.4.5, 6.4.4, 6.4.3, 6.4.2, 6.4.1, 6.4.0
6.2.11, 6.2.10, 6.2.9, 6.2.8, 6.2.7, 6.2.6, 6.2.5, 6.2.4, 6.2.3, 6.2.2, 6.2.1, 6.2.0
【影響】
FortiManager および FortiAnalyzer に相対パストラバーサルの脆弱性があるため権限の低いリモート
攻撃者が細工された HTTPリクエストを介して不正なコードを実行する可能性があります。
【対策】
以下のバージョンへのアップグレードを実施して下さい。
FortiManager
ver.7.4.1 以降
ver.7.2.4 以降
ver.7.0.9 以降
ver.6.4.13 以降
ver.6.2.12 以降
FortiAnalyzer
ver.7.4.1 以降
ver.7.2.4 以降
ver.7.0.9 以降
ver.6.4.13 以降
ver.6.2.12 以降
最新の情報は以下のリンク先にてご確認ください。
■FortiManager & FortiAnalyzer - Path traversal via unrestricted file upload
https://www.fortiguard.com/psirt/FG-IR-23-189