요약
FortiSIEM 파일 업로드 구성 요소의 상대 경로 탐색 취약점[CWE-23]으로 인해 FortiSIEM GUI의 인증되고 권한이 낮은 사용자가 특별히 제작된 HTTP 요청을 통해 자신의 권한을 에스컬레이션하고 기본 파일 시스템의 임의 파일을 교체할 수 있습니다.
영향을 받는 제품
FortiSIEM 버전 7.0.0
FortiSIEM 버전 6.7.0~6.7.3
FortiSIEM 버전 6.6.0~6.6.3
FortiSIEM 버전 6.5.0~6.5.1
FortiSIEM 버전 6.4.0~6.4.2
솔루션
FortiSIEM 버전 7.0.1 이상으로 업그레이드하십시오
FortiSIEM 버전 6.7.4 이상으로 업그레이드하십시오
FortiSIEM 버전 6.6.4 이상으로 업그레이드하십시오
FortiSIEM 버전 6.5.2 이상으로
업그레이드하십시오 FortiSIEM 버전 6.4.3 이상으로 업그레이드하십시오
승인
ETAC 팀의 Lance Yeaw가 내부적으로 발견하고 보고했습니다.타임라인
2023-10-11: 최초 출판참고
https://fortiguard.fortinet.com/psirt/FG-IR-23-085