【CVE番号】
　CVE-2022-27487

【対象機器／バージョン】
　FortiSandbox
　　4.2.2, 4.2.1, 4.2.0
　　4.0.2, 4.0.1, 4.0.0
　　3.2.3, 3.2.2, 3.2.1, 3.2.0
　　ver.3.1 台 全てのバージョン
　　ver.3.0 台 全てのバージョン
　　ver.2.5 台 全てのバージョン

　FortiDeceptor
　　4.1.0
　　4.0.2, 4.0.1, 4.0.0
　　3.3.3, 3.3.2, 3.3.1, 3.3.0
　　ver.3.2 台 全てのバージョン
　　ver.3.1 台 全てのバージョン
　　ver.3.0 台 全てのバージョン
　　ver.2.1 台 全てのバージョン
　　ver.2.0 台 全てのバージョン
　　ver.1.1 台 全てのバージョン
　　ver.1.0 台 全てのバージョン

　　※弊社販売はver.5.0.0以降となっています。

【影響】
　FortiSandbox および FortiDeceptor の不適切な権限管理の脆弱性により、リモートの認証された
　攻撃者が、巧妙に細工された HTTP または HTTPS リクエストを介して不正な API 呼び出しを実行
　できる可能性があります。

【対策】
　以下のバージョンへのアップグレードを実施してください。

　FortiSandbox
　　ver.4.2.3 以降
　　ver.4.0.3 以降
　　ver.3.2.4 以降

　　※ver.4.0.3、ver.3.24はリリーステスト中です（4/12時点）。ご要望のお客様はお問合せください。

　FortiDeceptor
　　ver.4.2.0 以降
　　ver.4.1.1 以降
　　ver.4.0.2 以降
　　ver.3.3.3 以降


最新の情報はリンク先にてご確認ください。

■FortiSandbox / FortiDeceptor - Improper profile-based access control over APIs
https://www.fortiguard.com/psirt/FG-IR-22-056