Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-07171

Опубликовано: 06 дек. 2022
Источник: fstec
CVSS3: 7.3
CVSS2: 7.5
EPSS Низкий

Описание

Уязвимость веб-интерфейса управления операционной системы FortiOS связана с ошибками при обработке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к устройству, путем отправки специально сформированного ответа Access-Challenge с сервера Radius

Вендор

Fortinet Inc.

Наименование ПО

FortiOS
FortiProxy

Версия ПО

от 7.2.0 до 7.2.2 (FortiOS)
от 7.0.0 до 7.0.6 включительно (FortiProxy)
от 6.4.0 до 6.4.10 (FortiOS)
до 2.0.11 (FortiOS)
от 7.0.0 до 7.0.8 (FortiOS)
от 2.0.0 до 2.0.10 включительно (FortiProxy)
до 1.2.0 включительно (FortiProxy)
от 6.2 до 6.2.13 (FortiOS)

Тип ПО

Операционная система
Средство защиты

Операционные системы и аппаратные платформы

Fortinet Inc. FortiOS от 7.2.0 до 7.2.2
Fortinet Inc. FortiOS от 6.4.0 до 6.4.10
Fortinet Inc. FortiOS до 2.0.11
Fortinet Inc. FortiOS от 7.0.0 до 7.0.8
Fortinet Inc. FortiOS от 6.2 до 6.2.13

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,3)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование локальной политики для ограничения доступа к веб-интерфейсу управления
- отключения возможности доступа к веб-интерфейсу управления из общедоступных сетей (Интернет);
- ограничение возможности подключения к веб-интерфейсу только доверенными хостами.
Использование рекомендаций производителя:
https://www.fortiguard.com/psirt/FG-IR-22-255

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 66%
0.00512
Низкий

7.3 High

CVSS3

7.5 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2022-35843

CVSS3: 8.1
nvd
около 3 лет назад

An authentication bypass by assumed-immutable data vulnerability [CWE-302] in the FortiOS SSH login component 7.2.0, 7.0.0 through 7.0.7, 6.4.0 through 6.4.9, 6.2 all versions, 6.0 all versions and FortiProxy SSH login component 7.0.0 through 7.0.5, 2.0.0 through 2.0.10, 1.2.0 all versions may allow a remote and unauthenticated attacker to login into the device via sending specially crafted Access-Challenge response from the Radius server.

github логотип

GHSA-h7pw-vp92-fggq

CVSS3: 9.8
github
около 3 лет назад

An authentication bypass by assumed-immutable data vulnerability [CWE-302] in the FortiOS SSH login component 7.2.0, 7.0.0 through 7.0.7, 6.4.0 through 6.4.9, 6.2 all versions, 6.0 all versions and FortiProxy SSH login component 7.0.0 through 7.0.5, 2.0.0 through 2.0.10, 1.2.0 all versions may allow a remote and unauthenticated attacker to login into the device via sending specially crafted Access-Challenge response from the Radius server.

EPSS

Процентиль: 66%
0.00512
Низкий

7.3 High

CVSS3

7.5 High

CVSS2