【CVE番号】
CVE-2024-23112
【重要度】
High
【対象機器/バージョン】
FortiGate、FortiWIFI
ver.7.4.0 ~ 7.4.1
ver.7.2.0 ~ 7.2.6
ver.7.0.0 ~ 7.0.13
ver.6.4.0 ~ 6.4.14
FortiProxy
ver.7.4.0 ~ 7.4.2
ver.7.2.0 ~ 7.2.8
ver.7.0.0 ~ 7.0.14
【影響】
FortiOS および FortiProxy SSLVPN のユーザー制御キーの脆弱性による認証バイパスにより、認証された
攻撃者が URL 操作を介して別のユーザーのブックマークにアクセスできる可能性があります。
【対策】
以下のバージョンへのアップグレードを実施してください。
FortiGate、FortiWIFI
ver.7.4.2 以降
ver.7.2.7 以降
ver.7.0.14 以降
ver.6.4.15 以降
FortiProxy
ver.7.4.3 以降
ver.7.2.9 以降
ver.7.0.15 以降
【ワークアラウンド】
SSL-VPNのWebモードを無効にします。
本内容は2024年3月13日9:00時点のものです。最新の情報は以下のリンク先にてご確認ください。
■FortiOS & FortiProxy - Authorization bypass in SSLVPN bookmarks
https://www.fortiguard.com/psirt/FG-IR-24-013