Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-11512

Опубликовано: 10 сент. 2024
Источник: fstec
CVSS3: 5
CVSS2: 4
EPSS Низкий

Описание

Уязвимость программного средства для централизованного управления устройствами Fortinet FortiManager, межсетевого экрана FortiAnalyzer связана с обходом авторизации посредством использования ключа, контролируемого пользователем. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации с помощью специально созданного HTTP-запроса

Вендор

Fortinet Inc.

Наименование ПО

FortiManager
FortiAnalyzer
FortiAnalyzer-BigData

Версия ПО

7.4.0 (FortiManager)
7.4.0 (FortiAnalyzer)
от 7.2.0 до 7.2.5 включительно (FortiAnalyzer-BigData)
7.0 (FortiAnalyzer)
6.4 (FortiAnalyzer)
6.2 (FortiAnalyzer)
7.0 (FortiManager)
6.4 (FortiManager)
6.2 (FortiManager)
от 7.2.0 до 7.2.4 включительно (FortiAnalyzer)
от 7.2.0 до 7.2.4 включительно (FortiManager)

Тип ПО

Прикладное ПО информационных систем
ПО программно-аппаратных средств защиты
ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://www.fortiguard.com/psirt/FG-IR-23-204

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 48%
0.00252
Низкий

5 Medium

CVSS3

4 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-44254

CVSS3: 5
nvd
больше 1 года назад

An authorization bypass through user-controlled key [CWE-639] vulnerability in FortiAnalyzer version 7.4.1 and before 7.2.5 and FortiManager version 7.4.1 and before 7.2.5 may allow a remote attacker with low privileges to read sensitive data via a crafted HTTP request.

github логотип

GHSA-pmv9-7f92-57xh

CVSS3: 5
github
больше 1 года назад

An authorization bypass through user-controlled key [CWE-639] vulnerability in FortiAnalyzer version 7.4.1 and before 7.2.5 and FortiManager version 7.4.1 and before 7.2.5 may allow a remote attacker with low privileges to read sensitive data via a crafted HTTP request.

EPSS

Процентиль: 48%
0.00252
Низкий

5 Medium

CVSS3

4 Medium

CVSS2