CVE-2024-32117

Опубликовано: 12 нояб. 2024

Источник: nvd

CVSS3: 4.9

EPSS Низкий

Описание

An improper limitation of a pathname to a restricted directory ('Path Traversal') vulnerability [CWE-22] in Fortinet FortiManager version 7.4.0 through 7.4.2 and below 7.2.5, FortiAnalyzer version 7.4.0 through 7.4.2 and below 7.2.5 & FortiAnalyzer-BigData version 7.4.0 and below 7.2.7 allows a privileged attacker to read arbitrary files from the underlying system via crafted HTTP or HTTPs requests.

Ссылки

https://fortiguard.fortinet.com/psirt/FG-IR-24-115
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:fortinet:fortianalyzer:*:*:*:*:*:*:*:*

Версия от 6.2.0 (включая) до 7.2.6 (исключая)

cpe:2.3:a:fortinet:fortianalyzer:*:*:*:*:*:*:*:*

Версия от 7.4.0 (включая) до 7.4.3 (исключая)

cpe:2.3:a:fortinet:fortianalyzer_big_data:*:*:*:*:*:*:*:*

Версия от 6.2.1 (включая) до 7.2.8 (исключая)

cpe:2.3:a:fortinet:fortianalyzer_big_data:7.4.0:*:*:*:*:*:*:*

cpe:2.3:a:fortinet:fortimanager:*:*:*:*:*:*:*:*

Версия от 6.2.0 (включая) до 7.2.6 (исключая)

cpe:2.3:a:fortinet:fortimanager:*:*:*:*:*:*:*:*

Версия от 7.4.0 (включая) до 7.4.3 (исключая)

EPSS

Процентиль: 55%

0.00321

Низкий

4.9 Medium

CVSS3

Дефекты

CWE-22

Связанные уязвимости

GHSA-6f8g-mwg3-32f9

CVSS3: 4.9

github

около 1 года назад

BDU:2024-10080

CVSS3: 4.9

fstec

около 1 года назад

Уязвимость интерфейса командной строки CLI (Command Line Interface) программного средства централизованного управления устройствами Fortinet FortiManager и средств отслеживания и анализа событий безопасности FortiAnalyzer и FortiAnalyzer-BigData, позволяющая нарушителю читать произвольные файлы из базовой файловой системы

EPSS

Процентиль: 55%

0.00321

Низкий

4.9 Medium

CVSS3

Дефекты

CWE-22