요약

FortiManager 및 FortiAnalyzer의 상대 경로 탐색[CVE-23] 취약점으로 인해 낮은 권한을 가진 원격 공격자가 조작된 HTTP 요청을 통해 승인되지 않은 코드를 실행할 수 있습니다.

버전체하는해결책
포티매니저 7.47.4.07.4.1 이상으로 업그레이드
포티매니저 7.27.2.0~7.2.37.2.4 이상으로 업그레이드
포티매니저 7.07.0.0~7.0.87.0.9 이상으로 업그레이드
포티매니저 6.46.4.0~6.4.126.4.13 이상으로 업그레이드
포티매니저 6.26.2.0~6.2.116.2.12 이상으로 업그레이드
포티애널라이저 7.47.4.0~7.4.17.4.1 이상으로 업그레이드
포티애널라이저 7.27.2.0~7.2.37.2.4 이상으로 업그레이드
포티애널라이저 7.07.0.0~7.0.87.0.9 이상으로 업그레이드
포티애널라이저 6.46.4.0~6.4.126.4.13 이상으로 업그레이드
포티애널라이저 6.26.2.0~6.2.116.2.12 이상으로 업그레이드
https://docs.fortinet.com/upgrade-tool 에서 당사 도구를 사용하여 권장 업그레이드 경로를 따르십시오.

승인

Fortinet은 책임 있는 공개 하에 이 취약점을 발견하고 보고한 Synacktiv( https://www.synacktiv.com) 의 보안 연구원인 Paul BARBE, Antoine CARRINCAZEAUX 및 Clément AMIC에게 감사를 표하게 된 것을 기쁘게 생각합니다 .

타임라인

2023-10-10: 최초 출판


참고

https://fortiguard.fortinet.com/psirt/FG-IR-23-189