【CVE番号】
CVE-2022-27487
【対象機器/バージョン】
FortiSandbox
4.2.2, 4.2.1, 4.2.0
4.0.2, 4.0.1, 4.0.0
3.2.3, 3.2.2, 3.2.1, 3.2.0
ver.3.1 台 全てのバージョン
ver.3.0 台 全てのバージョン
ver.2.5 台 全てのバージョン
FortiDeceptor
4.1.0
4.0.2, 4.0.1, 4.0.0
3.3.3, 3.3.2, 3.3.1, 3.3.0
ver.3.2 台 全てのバージョン
ver.3.1 台 全てのバージョン
ver.3.0 台 全てのバージョン
ver.2.1 台 全てのバージョン
ver.2.0 台 全てのバージョン
ver.1.1 台 全てのバージョン
ver.1.0 台 全てのバージョン
※弊社販売はver.5.0.0以降となっています。
【影響】
FortiSandbox および FortiDeceptor の不適切な権限管理の脆弱性により、リモートの認証された
攻撃者が、巧妙に細工された HTTP または HTTPS リクエストを介して不正な API 呼び出しを実行
できる可能性があります。
【対策】
以下のバージョンへのアップグレードを実施してください。
FortiSandbox
ver.4.2.3 以降
ver.4.0.3 以降
ver.3.2.4 以降
※ver.4.0.3、ver.3.24はリリーステスト中です(4/12時点)。ご要望のお客様はお問合せください。
FortiDeceptor
ver.4.2.0 以降
ver.4.1.1 以降
ver.4.0.2 以降
ver.3.3.3 以降
最新の情報はリンク先にてご確認ください。
■FortiSandbox / FortiDeceptor - Improper profile-based access control over APIs
https://www.fortiguard.com/psirt/FG-IR-22-056