Fortinet FortiADC/FortiTester 深刻な脆弱性が FIX:HTTP リクエストを介した RCE

Fortinet fixed multiple command injection bugs in FortiADC and FortiTester

2023/01/04 SecurityAffairs — サイバー・セキュリティ・ベンダーである Fortinet は、同社製品に影響を及ぼす複数の脆弱性に対応した。また、Application Delivery Controller である FortiADC に影響を及ぼす、深刻な コマンド・インジェクション の脆弱性 CVE-2022-39947 (CVSS 8.6) について、顧客に警告を発している。この脆弱性 CVE-2022-39947 は、FortiADC の OS Command における特殊要素の不適切な無効化に起因し、特別に細工された HTTP リクエストを介した、任意のコード実行を許す可能性がある。

Continue reading “Fortinet FortiADC/FortiTester 深刻な脆弱性が FIX:HTTP リクエストを介した RCE”

Fortinet の深刻な脆弱性 CVE-2022-38374 などが FIX:XSS 攻撃の可能性

Fortinet fixed 16 vulnerabilities, 6 rated as high severity

2022/11/03 SecurityAffairs — Fortinet が FIX した脆弱性の中で、深刻度の高いものとしては、FortiADC の Log ページに存在する persistent XSS の脆弱性 CVE-2022-38374 がある。この問題の原因は、FortiADC の Web ページ生成時における、入力の不適切な無効化の脆弱性 [CWE-79] となる。この脆弱性の悪用に成功したリモートの未認証の攻撃者は、トラフィックやイベントのログビューで観測される HTTP フィールドを介して、persistent XSS 攻撃が可能となる。

Continue reading “Fortinet の深刻な脆弱性 CVE-2022-38374 などが FIX:XSS 攻撃の可能性”