요약

FortiManager 및 FortiAnalyzer의 os 명령('OS 명령 주입') 취약성[CWE-78]에 사용된 특수 요소의 부적절한 무력화로 인해 낮은 권한을 가진 로컬 공격자가 CLI 명령에 대해 특별히 제작된 인수를 통해 승인되지 않은 코드를 실행할 수 있습니다.

버전체하는해결책
포티애널라이저 7.47.4.07.4.1 이상으로 업그레이드
포티애널라이저 7.27.2.0~7.2.37.2.4 이상으로 업그레이드
포티애널라이저 7.07.0.0~7.0.87.0.9 이상으로 업그레이드
포티애널라이저 6.46.4.0~6.4.126.4.13 이상으로 업그레이드
포티애널라이저 6.26.2.0~6.2.116.2.12 이상으로 업그레이드
포티매니저 7.47.4.07.4.1 이상으로 업그레이드
포티매니저 7.27.2.0~7.2.37.2.4 이상으로 업그레이드
포티매니저 7.07.0.0~7.0.87.0.9 이상으로 업그레이드
포티매니저 6.46.4.0~6.4.126.4.13 이상으로 업그레이드
포티매니저 6.26.2.0~6.2.116.2.12 이상으로 업그레이드
https://docs.fortinet.com/upgrade-tool 에서 당사 도구를 사용하여 권장 업그레이드 경로를 따르십시오.

승인

Fortinet은 책임 있는 공개 하에 이 취약점을 발견하고 보고해 주신 Orange 그룹의 보안 연구원인 Loc Restoux와 Orange CERT-CC에게 감사의 말씀을 전하게 되어 기쁘게 생각합니다.


타임라인

2023-10-10: 최초 출판


참고

https://fortiguard.fortinet.com/psirt/FG-IR-23-167