Fortinet、複数製品の脆弱性について注意喚起：CVE-2024-45324、CVE-2024-52961、CVE-2024-55590ほか

Fortinet、複数製品の脆弱性について注意喚起：CVE-2024-45324、CVE-2024-52961、CVE-2024-55590ほか

FortiGuard Labs – 2025-03-11

Fortinetは3月11日、FortiOSやFortiProxy、FortiSandbox、FortiSIEMなど複数製品に影響を与える脆弱性についてのセキュリティアドバイザリをリリース。開示された脆弱性のうち、以下の8件はCVSS（v3）スコアが特に高く、深刻度が「High」に分類されている。

• CVE-2024-45324：FortiOS、FortiProxy、FortiPAM、FortiSRA、FortiWebにおける書式文字列の問題に起因する脆弱性。特権を持つ攻撃者に悪用された場合、特別に細工されたHTTPまたはHTTPSコマンドを介して不正なコード/コマンドを実行される恐れがある。CVSSv3スコアは7.0。

• CVE-2024-52961：FortiSandboxにおけるOSコマンドインジェクションの脆弱性。最低でも読み取り専用権限を有する認証済みの攻撃者に悪用された場合、細工されたリクエストを通じて不正なコマンドを実行される恐れがある。CVSSv3スコアは8.6。

• CVE-2024-55590：FortiIsolatorにおけるOSコマンドインジェクションの脆弱性。最低でも読み取り専用の管理者権限を有し、CLIへアクセスできる認証済みの攻撃者に悪用された場合、特別に細工されたCLIコマンドを介して不正なコードを実行される恐れがある。CVSSv3スコアは8.6。

• CVE-2023-37933：FortiADC GUIにおけるクロスサイトスクリプティングの脆弱性。認証済みの攻撃者に悪用された場合、細工されたHTTPまたはHTTPSリクエストを通じたXSS攻撃を実行される恐れがある。CVSSv3スコアは8.6。

• CVE-2024-54027：FortiSandboxにおける、ハードコードされた暗号鍵の使用に起因する脆弱性。super-adminプロファイルを有し、CLIへアクセスできる特権を有する攻撃者に悪用された場合、CLIを通じた機微なデータの読み取りが可能になる恐れがある。CVSSv3スコアは7.8。

• CVE-2023-40723：FortiSIEMにおける情報漏洩の脆弱性。リモートの認証されていない攻撃者は、認証以外の手段によって当該エージェントのAuthorizationヘッダーに関する知識を得ることに成功した場合、この脆弱性を悪用することで、細工されたAPIリクエストを介してデータベースのパスワードを読み取れるようになる可能性がある。CVSSv3スコアは7.7。

• CVE-2024-45328：FortiSandboxにおける不適切な認可の脆弱性。この脆弱性により、権限の低い管理者がGUIコンソールメニューを通じて昇格された権限のCLIコマンドを実行できるようになる恐れがある。CVSSv3スコアは7.1。

• CVE-2023-48790：FortiNDRにおけるクロスサイトリクエストフォージェリの脆弱性。リモートの認証されていない攻撃者に悪用された場合、細工されたHTTP GETリクエストを通じて不正なアクションを実行される恐れがある。CVSSv3スコアは7.1。

その他の脆弱性については、Fortinet PSIRTのページから確認できる。