【CVE番号】
CVE-2022-43955
【対象機器/バージョン】
FortiWeb
7.0.3, 7.0.2, 7.0.1, 7.0.0
ver.6.4 台 全てのバージョン
6.3.21, 6.3.20, 6.3.19, 6.3.18, 6.3.17, 6.3.16, 6.3.15, 6.3.14, 6.3.13, 6.3.12, 6.3.11,
6.3.10, 6.3.9, 6.3.8, 6.3.7, 6.3.6, 6.3.5, 6.3.4, 6.3.3, 6.3.2, 6.3.1, 6.3.0
ver.6.2 台 全てのバージョン
ver.6.1 台 全てのバージョン
ver.6.0 台 全てのバージョン
【影響】
FortiWeb WebインターフェイスでのWebページ生成中の入力の無効化が不適切なため、認証されていない
リモートの攻撃者が、レポートの作成に使用されるログ エントリに悪意のあるペイロードを挿入することで、
反射型クロス サイト スクリプティング攻撃 (XSS) を実行できる可能性があります。
【対策】
以下のバージョンへのアップグレードを実施してください。
ver.7.2.0 以降
ver.7.0.4 以降
ver.6.3.22 以降
最新の情報はリンク先にてご確認ください。
■FortiWeb - XSS vulnerability in HTML generated attack report files
https://www.fortiguard.com/psirt/FG-IR-22-428