【CVE番号】
CVE-2022-41334
【対象機器/バージョン】
FortiGate、FortiWIFI
version 7.2.0 ~ 7.2.3
version 7.0.0 ~ 7.0.7
【影響】
Fortiosの脆弱性により、リモートで認知されていない攻撃者が、表示されたURLの「Redir」パラメーターを
介して「FortiCLoudでサインイン」ボタンがクリックされたときにクロスサイトスクリプティング(XSS)攻撃
を開始できる場合があります。
【対策】
以下のバージョンへのアップグレードを実施いただくが、ワークアラウンドを実施ください。
version 7.2.4 以降
version 7.0.8 以降
ワークアラウンド
以下のコマンド操作を行い、FortiCloudのサインインを無効にします。
# config system global
set admin-forticloud-sso-login disable
end
その後、他のログイン方法でFortiGateにログインします。
最新の情報は以下のリンク先にてご確認ください。
■FortiOS -- XSS vulnerability in the Login page when FortiCloud Sign-in is used
https://www.fortiguard.com/psirt/FG-IR-22-224