Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-00676

Опубликовано: 14 мая 2024
Источник: fstec
CVSS3: 6.6
CVSS2: 7.1
EPSS Низкий

Описание

Уязвимость демона sdnproxy средства отслеживания и анализа событий безопасности FortiAnalyzer и программного средства централизованного управления устройствами FortiManager связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код и повысить свои привилегии путем отправки специально созданных HTTP-запросов

Вендор

Fortinet Inc.

Наименование ПО

FortiManager
FortiAnalyzer
FortiAnalyzer Cloud
FortiManager Cloud

Версия ПО

от 7.4.0 до 7.4.3 (FortiManager)
от 7.4.0 до 7.4.4 (FortiAnalyzer)
от 7.4.1 до 7.4.3 (FortiAnalyzer Cloud)
от 7.4.1 до 7.4.3 (FortiManager Cloud)

Тип ПО

Прикладное ПО информационных систем
ПО программно-аппаратных средств защиты

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,6)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя: https://fortiguard.fortinet.com/psirt/FG-IR-24-091

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 42%
0.00202
Низкий

6.6 Medium

CVSS3

7.1 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-35275

CVSS3: 6.6
nvd
около 1 года назад

A improper neutralization of special elements used in an sql command ('sql injection') in Fortinet FortiAnalyzer version 7.4.0 through 7.4.2, FortiManager version 7.4.0 through 7.4.2 allows attacker to escalation of privilege via specially crafted http requests.

github логотип

GHSA-rp6x-j4c5-4rvc

CVSS3: 6.6
github
около 1 года назад

A improper neutralization of special elements used in an sql command ('sql injection') in Fortinet FortiAnalyzer version 7.4.0 through 7.4.2, FortiManager version 7.4.0 through 7.4.2 allows attacker to escalation of privilege via specially crafted http requests.

EPSS

Процентиль: 42%
0.00202
Низкий

6.6 Medium

CVSS3

7.1 High

CVSS2