Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-00923

Опубликовано: 16 фев. 2023
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Низкий

Описание

Уязвимость операционной системы FortiOS и централизованного решения идентификации и управления доступом FortiAuthenticator связана с незашифрованным хранением конфиденциальной информации, Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

Fortinet Inc.

Наименование ПО

FortiOS
FortiAuthenticator

Версия ПО

от 6.2.0 до 6.2.9 включительно (FortiOS)
от 6.4.0 до 6.4.1 включительно (FortiOS)
от 6.0.0 до 6.0.13 включительно (FortiOS)
6.1.0 (FortiAuthenticator)
от 6.0.0 до 6.0.4 включительно (FortiAuthenticator)
5.5.0 (FortiAuthenticator)

Тип ПО

Операционная система
ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://www.fortiguard.com/psirt/FG-IR-20-014
Компенсирующие меры:
Отключите службу FTM с помощью следующих команд:
config system ftm-push
set status disable
end

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 22%
0.00071
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2022-22302

CVSS3: 5.3
nvd
больше 2 лет назад

A clear text storage of sensitive information (CWE-312) vulnerability in both FortiGate version 6.4.0 through 6.4.1, 6.2.0 through 6.2.9 and 6.0.0 through 6.0.13 and FortiAuthenticator version 5.5.0 and all versions of 6.1 and 6.0 may allow a local unauthorized party to retrieve the Fortinet private keys used to establish secure communication with both Apple Push Notification and Google Cloud Messaging services, via accessing the files on the filesystem.

github логотип

GHSA-vcgf-cp2m-h8gw

CVSS3: 5.3
github
больше 2 лет назад

A clear text storage of sensitive information (CWE-312) vulnerability in both FortiGate version 6.4.0 through 6.4.1, 6.2.0 through 6.2.9 and 6.0.0 through 6.0.13 and FortiAuthenticator version 5.5.0 and all versions of 6.1 and 6.0 may allow a local unauthorized party to retrieve the Fortinet private keys used to establish secure communication with both Apple Push Notification and Google Cloud Messaging services, via accessing the files on the filesystem.

EPSS

Процентиль: 22%
0.00071
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2