CVE-2022-29060

Опубликовано: 19 июл. 2022

Источник: nvd

CVSS3: 8.1

EPSS Низкий

Описание

A use of hard-coded cryptographic key vulnerability [CWE-321] in FortiDDoS API 5.5.0 through 5.5.1, 5.4.0 through 5.4.2, 5.3.0 through 5.3.1, 5.2.0, 5.1.0 may allow an attacker who managed to retrieve the key from one device to sign JWT tokens for any device.

Ссылки

https://fortiguard.com/psirt/FG-IR-22-071
Patch
Vendor Advisory
https://fortiguard.com/psirt/FG-IR-22-071
Patch
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:fortinet:fortiddos:5.1.0:*:*:*:*:*:*:*

cpe:2.3:a:fortinet:fortiddos:5.2.0:*:*:*:*:*:*:*

cpe:2.3:a:fortinet:fortiddos:5.3.0:*:*:*:*:*:*:*

cpe:2.3:a:fortinet:fortiddos:5.3.1:*:*:*:*:*:*:*

cpe:2.3:a:fortinet:fortiddos:5.4.0:*:*:*:*:*:*:*

cpe:2.3:a:fortinet:fortiddos:5.4.1:*:*:*:*:*:*:*

cpe:2.3:a:fortinet:fortiddos:5.4.2:*:*:*:*:*:*:*

cpe:2.3:a:fortinet:fortiddos:5.5.0:*:*:*:*:*:*:*

cpe:2.3:a:fortinet:fortiddos:5.5.1:*:*:*:*:*:*:*

EPSS

Процентиль: 65%

0.00479

Низкий

8.1 High

CVSS3

Дефекты

CWE-798

Связанные уязвимости

GHSA-vgx6-62w9-6xwh

CVSS3: 8.1

github

больше 3 лет назад

BDU:2022-04175

CVSS3: 8.1

fstec

больше 3 лет назад

Уязвимость программно-аппаратного средства защиты от DDoS-атак FortiDDoS, связанная с использованием жестко закодированного криптографического ключа, позволяющая нарушителю подписать JWT-токены для различных устройств

EPSS

Процентиль: 65%

0.00479

Низкий

8.1 High

CVSS3

Дефекты

CWE-798