Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-09468

Опубликовано: 12 нояб. 2024
Источник: fstec
CVSS3: 7.5
CVSS2: 7.1
EPSS Низкий

Описание

Уязвимость программного средства централизованного управления устройствами Fortinet FortiManager и средств отслеживания и анализа событий безопасности FortiAnalyzer и FortiAnalyzer-BigData связана с реализацией функций безопасности на стороне клиента. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии путём отправки специально сформированных запросов

Вендор

Fortinet Inc.

Наименование ПО

FortiAnalyzer-BigData
FortiManager
FortiAnalyzer

Версия ПО

7.0 (FortiAnalyzer-BigData)
6.4 (FortiAnalyzer-BigData)
6.2 (FortiAnalyzer-BigData)
от 7.0.0 до 7.0.13 (FortiManager)
от 6.4.0 до 6.4.15 (FortiManager)
от 7.2.0 до 7.2.6 (FortiManager)
от 7.4.0 до 7.4.3 (FortiManager)
от 7.4.0 до 7.4.3 (FortiAnalyzer)
от 7.2.0 до 7.2.6 (FortiAnalyzer)
от 7.0.0 до 7.0.13 (FortiAnalyzer)
от 6.4.0 до 6.4.15 (FortiAnalyzer)
до 7.4.1 (FortiAnalyzer-BigData)
от 7.2.0 до 7.2.7 (FortiAnalyzer-BigData)

Тип ПО

ПО сетевого программно-аппаратного средства
Прикладное ПО информационных систем
ПО программно-аппаратных средств защиты

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения доступа к уязвимым программным продуктам;
- сегментирование сети для ограничения возможности доступа к уязвимым программным продуктам;
- минимизация пользовательских привилегий для ограничения возможности доступа к уязвимым программным продуктам;
- отключение/удаление неиспользуемых учётных записей пользователей.
Использование рекомендаций:
https://fortiguard.fortinet.com/psirt/FG-IR-23-396

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 92%
0.07648
Низкий

7.5 High

CVSS3

7.1 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-23666

CVSS3: 7.5
nvd
около 1 года назад

A client-side enforcement of server-side security in Fortinet FortiAnalyzer-BigData at least version 7.4.0 and 7.2.0 through 7.2.6 and 7.0.1 through 7.0.6 and 6.4.5 through 6.4.7 and 6.2.5, FortiManager version 7.4.0 through 7.4.1 and 7.2.0 through 7.2.4 and 7.0.0 through 7.0.11 and 6.4.0 through 6.4.14, FortiAnalyzer version 7.4.0 through 7.4.1 and 7.2.0 through 7.2.4 and 7.0.0 through 7.0.11 and 6.4.0 through 6.4.14 allows attacker to improper access control via crafted requests.

github логотип

GHSA-jwm4-jq46-9g26

CVSS3: 7.5
github
около 1 года назад

A client-side enforcement of server-side security in Fortinet FortiAnalyzer-BigData at least version 7.4.0 and 7.2.0 through 7.2.6 and 7.0.1 through 7.0.6 and 6.4.5 through 6.4.7 and 6.2.5, FortiManager version 7.4.0 through 7.4.1 and 7.2.0 through 7.2.4 and 7.0.0 through 7.0.11 and 6.4.0 through 6.4.14, FortiAnalyzer version 7.4.0 through 7.4.1 and 7.2.0 through 7.2.4 and 7.0.0 through 7.0.11 and 6.4.0 through 6.4.14 allows attacker to improper access control via crafted requests.

EPSS

Процентиль: 92%
0.07648
Низкий

7.5 High

CVSS3

7.1 High

CVSS2