Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-03648

Опубликовано: 11 мар. 2025
Источник: fstec
CVSS3: 4.2
CVSS2: 4.3
EPSS Низкий

Описание

Уязвимость компонента CLI программного средства централизованного управления устройствами Fortinet FortiManager и средств отслеживания и анализа событий безопасности FortiAnalyzer и FortiAnalyzer-BigData связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю выполнять произвольные команды или код

Вендор

Fortinet Inc.

Наименование ПО

FortiManager
FortiAnalyzer
FortiAnalyzer-BigData

Версия ПО

от 7.2.0 до 7.2.6 (FortiManager)
от 7.4.0 до 7.4.3 (FortiManager)
от 7.4.0 до 7.4.3 (FortiAnalyzer)
от 7.2.0 до 7.2.6 (FortiAnalyzer)
от 7.2.0 до 7.2.8 (FortiAnalyzer-BigData)
от 7.4.0 до 7.4.1 (FortiAnalyzer-BigData)
от 6.2.8 до 6.2.13 включительно (FortiManager)
от 6.0.10 до 6.0.12 включительно (FortiManager)
до 7.0.13 включительно (FortiManager)
до 6.4.15 включительно (FortiManager)
до 7.0.13 включительно (FortiAnalyzer)
до 6.4.15 включительно (FortiAnalyzer)
до 6.4.6 включительно (FortiAnalyzer-BigData)
до 7.0.6 включительно (FortiAnalyzer-BigData)

Тип ПО

Прикладное ПО информационных систем
ПО программно-аппаратных средств защиты
ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,3)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,2)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://fortiguard.fortinet.com/psirt/FG-IR-24-130

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 9%
0.00033
Низкий

4.2 Medium

CVSS3

4.3 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-33501

CVSS3: 4.2
nvd
11 месяцев назад

Two improper neutralization of special elements used in an SQL Command ('SQL Injection') vulnerability [CWE-89] in Fortinet FortiAnalyzer version 7.4.0 through 7.4.2 and before 7.2.5, FortiManager version 7.4.0 through 7.4.2 and before 7.2.5 and FortiAnalyzer-BigData version 7.4.0 and before 7.2.7 allows a privileged attacker to execute unauthorized code or commands via specifically crafted CLI requests.

github логотип

GHSA-h7wp-62hc-fvm5

CVSS3: 4.2
github
11 месяцев назад

Two improper neutralization of special elements used in an SQL Command ('SQL Injection') vulnerability [CWE-89] in Fortinet FortiAnalyzer version 7.4.0 through 7.4.2 and before 7.2.5, FortiManager version 7.4.0 through 7.4.2 and before 7.2.5 and FortiAnalyzer-BigData version 7.4.0 and before 7.2.7 allows a privileged attacker to execute unauthorized code or commands via specifically crafted CLI requests.

EPSS

Процентиль: 9%
0.00033
Низкий

4.2 Medium

CVSS3

4.3 Medium

CVSS2