exploitDog

CVE-2024-26013

Опубликовано: 08 апр. 2025

Источник: nvd

CVSS3: 7.5

EPSS Низкий

Описание

A improper restriction of communication channel to intended endpoints vulnerability [CWE-923] in Fortinet FortiOS version 7.4.0 through 7.4.4, 7.2.0 through 7.2.8, 7.0.0 through 7.0.15, 6.4.0 through 6.4.15 and before 6.2.16, Fortinet FortiProxy version 7.4.0 through 7.4.2, 7.2.0 through 7.2.9 and before 7.0.15, Fortinet FortiManager version 7.4.0 through 7.4.2, 7.2.0 through 7.2.4, 7.0.0 through 7.0.11, 6.4.0 through 6.4.14 and before 6.2.13, Fortinet FortiAnalyzer version 7.4.0 through 7.4.2, 7.2.0 through 7.2.4, 7.0.0 through 7.0.11, 6.4.0 through 6.4.14 and before 6.2.13, Fortinet FortiVoice version 7.0.0 through 7.0.2 before 6.4.8 and Fortinet FortiWeb before 7.4.2 may allow an unauthenticated attacker in a man-in-the-middle position to impersonate the management device (FortiCloud server or/and in certain conditions, FortiManager), via intercepting the FGFM authentication request between the management device and the managed device

Ссылки

https://fortiguard.fortinet.com/psirt/FG-IR-24-046
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:fortinet:fortianalyzer:*:*:*:*:*:*:*:*

Версия от 6.2.0 (включая) до 6.2.14 (исключая)

cpe:2.3:a:fortinet:fortianalyzer:*:*:*:*:*:*:*:*

Версия от 6.4.0 (включая) до 6.4.15 (исключая)

cpe:2.3:a:fortinet:fortianalyzer:*:*:*:*:*:*:*:*

Версия от 7.0.0 (включая) до 7.0.12 (исключая)

cpe:2.3:a:fortinet:fortianalyzer:*:*:*:*:*:*:*:*

Версия от 7.2.0 (включая) до 7.2.5 (исключая)

cpe:2.3:a:fortinet:fortianalyzer:*:*:*:*:*:*:*:*

Версия от 7.4.0 (включая) до 7.4.3 (исключая)

Конфигурация 2

Одно из

cpe:2.3:a:fortinet:fortimanager:*:*:*:*:*:*:*:*

Версия от 6.2.0 (включая) до 6.2.14 (исключая)

cpe:2.3:a:fortinet:fortimanager:*:*:*:*:*:*:*:*

Версия от 6.4.0 (включая) до 6.4.15 (исключая)

cpe:2.3:a:fortinet:fortimanager:*:*:*:*:*:*:*:*

Версия от 7.0.0 (включая) до 7.0.12 (исключая)

cpe:2.3:a:fortinet:fortimanager:*:*:*:*:*:*:*:*

Версия от 7.2.0 (включая) до 7.2.5 (исключая)

cpe:2.3:a:fortinet:fortimanager:*:*:*:*:*:*:*:*

Версия от 7.4.0 (включая) до 7.4.3 (исключая)

Конфигурация 3

Одно из

cpe:2.3:o:fortinet:fortios:*:*:*:*:*:*:*:*

Версия от 6.4.0 (включая) до 7.0.16 (исключая)

cpe:2.3:o:fortinet:fortios:*:*:*:*:*:*:*:*

Версия от 7.2.0 (включая) до 7.2.9 (исключая)

cpe:2.3:o:fortinet:fortios:*:*:*:*:*:*:*:*

Версия от 7.4.0 (включая) до 7.4.5 (исключая)

Конфигурация 4

Одно из

cpe:2.3:a:fortinet:fortiproxy:*:*:*:*:*:*:*:*

Версия от 2.0.0 (включая) до 7.0.16 (исключая)

cpe:2.3:a:fortinet:fortiproxy:*:*:*:*:*:*:*:*

Версия от 7.2.0 (включая) до 7.2.10 (исключая)

cpe:2.3:a:fortinet:fortiproxy:*:*:*:*:*:*:*:*

Версия от 7.4.0 (включая) до 7.4.3 (исключая)

Конфигурация 5

Одно из

cpe:2.3:a:fortinet:fortivoice:*:*:*:*:*:*:*:*

Версия от 6.0.0 (включая) до 6.4.9 (исключая)

cpe:2.3:a:fortinet:fortivoice:*:*:*:*:*:*:*:*

Версия от 7.0.0 (включая) до 7.0.3 (исключая)

Конфигурация 6

cpe:2.3:a:fortinet:fortiweb:*:*:*:*:*:*:*:*

Версия от 7.4.0 (включая) до 7.4.3 (исключая)

EPSS

Процентиль: 35%

0.00148

Низкий

7.5 High

CVSS3

Дефекты

CWE-923

Связанные уязвимости

GHSA-m9g2-wm3w-q6rv

CVSS3: 7.5

github

10 месяцев назад

A improper restriction of communication channel to intended endpoints vulnerability [CWE-923] in Fortinet FortiOS version 7.4.0 through 7.4.4, 7.2.0 through 7.2.8, 7.0.0 through 7.0.15, 6.4.0 through 6.4.15 and before 6.2.16, Fortinet FortiProxy version 7.4.0 through 7.4.2, 7.2.0 through 7.2.9 and before 7.0.15, Fortinet FortiManager version 7.4.0 through 7.4.2, 7.2.0 through 7.2.4, 7.0.0 through 7.0.11, 6.4.0 through 6.4.14 and before 6.2.13, Fortinet FortiAnalyzer version 7.4.0 through 7.4.2, 7.2.0 through 7.2.4, 7.0.0 through 7.0.11, 6.4.0 through 6.4.14 and before 6.2.13, Fortinet FortiVoice version 7.0.0 through 7.0.2 before 6.4.8 and Fortinet FortiWeb before 7.4.2 may allow an unauthenticated attacker in a man-in-the-middle position to impersonate the management device (FortiCloud server or/and in certain conditions, FortiManager), via intercepting the FGFM authentication request between the management device and the managed device

BDU:2025-05026

CVSS3: 7.5

fstec

10 месяцев назад

Уязвимость операционных систем FortiOS и прокси-сервера для защиты от интернет-атак FortiProxy, связанная с недостаточным ограничением канала связи для заданных конечных точек, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 35%

0.00148

Низкий

7.5 High

CVSS3

Дефекты

CWE-923