dateTitleCVE IDSeverityModel
2023-12-13FortiSandbox - 다운로드 PDF 보고서 엔드포인트에 XSS(교차 사이트 스크립팅) 반영CVE-2023-45587LowFortiSandbox
2023-12-13FortiMail - FotiMail 7.4.0에서 Remote_wildcard RADIUS 로그인 우회 가능성CVE-2023-47539CriticalFortiMail
2023-12-13FortiMail / FortiNDR / FortiRecorder / FortiSwitch / FortiVoice - HTTPd CLI 콘솔의 크로스 사이트 스크립팅 위조(CSRF)CVE-2022-27488HighFortiMail/
FortiNDR/
FortiRecorder/
FortiSwitch/
FortiVoice
2023-12-13FortiOS 및 FortiProxy - HTTPSd의 형식 문자열 버그CVE-2023-36639HighFortiOS/FortiProxy
2023-12-13FortiOS 및 FortiProxy - 방화벽 거부 정책 우회CVE-2023-47536LowFortiOS/FortiProxy
2023-12-13캐시 관리에서 두 배의 무료CVE-2023-41678HighFortiOS/FortiPAM
2023-12-13FortiSandbox - 반사된 크로스 사이트 스크립팅(XSS)CVE-2023-41844LowFortiSandbox


각 항목별 상세 내용은 아래 확인


1. FortiSandbox - 다운로드 PDF 보고서 엔드포인트에 XSS(교차 사이트 스크립팅) 반영

요약 : FortiSandbox의 웹 페이지 생성('교차 사이트 스크립팅') 취약점[CWE-79] 중 입력을 부적절하게 무력화하면 인증된 공격자가 조작된 HTTP 요청을 통해 교차 사이트 스크립팅 공격을 수행할 수 있습니다.


 

VersionAffectedSolution
FortiSandbox 4.44.4.0 through 4.4.2Upgrade to 4.4.3 or above
FortiSandbox 4.24.2 all versionsMigrate to a fixed release
FortiSandbox 4.04.0 all versionsMigrate to a fixed release
FortiSandbox 3.23.2 all versionsMigrate to a fixed release
FortiSandbox 3.13.1 all versionsMigrate to a fixed release

참조 사이트 : https://fortiguard.fortinet.com/psirt/FG-IR-23-360



2. FortiMail - FotiMail 7.4.0에서 Remote_wildcard RADIUS 로그인 우회 가능성

요약 : RADIUS 인증 및 Remote_wildcard 활성화로 구성된 FortiMail의 부적절한 액세스 제어 취약점[CWE-284]으로 인해 인증되지 않은 원격 공격자가 조작된 HTTP 요청을 통해 관리자 로그인을 우회할 수 있습니다.

VersionAffectedSolution
FortiMail 7.47.4.0Upgrade to 7.4.1 or above

참조 사이트 : https://fortiguard.fortinet.com/psirt/FG-IR-23-439



3. FortiMail / FortiNDR / FortiRecorder / FortiSwitch / FortiVoice - HTTPd CLI 콘솔의 크로스 사이트 스크립팅 위조(CSRF)

요약 : FortiMail, FortiNDR, FortiRecorder, FortiSwitch 및 FortiVoiceEnterprise의 사이트 간 스크립팅 위조 취약점[CWE-352]으로 인해 인증되지 않은 원격 공격자가 인증된 관리자를 속여 악의적인 GET 요청을 실행하도록 속여 CLI에서 명령을 실행할 수 있습니다.

VersionAffectedSolution
FortiMail 7.2Not affectedNot Applicable
FortiMail 7.07.0.0 through 7.0.3Upgrade to 7.0.4 or above
FortiMail 6.46.4.0 through 6.4.6Upgrade to 6.4.7 or above
FortiMail 6.26.2 all versionsMigrate to a fixed release
FortiMail 6.06.0 all versionsMigrate to a fixed release
FortiNDR 7.2Not affectedNot Applicable
FortiNDR 7.17.1.0Upgrade to 7.1.1 or above
FortiNDR 7.07.0.0 through 7.0.4Upgrade to 7.0.5 or above
FortiNDR 1.51.5 all versionsMigrate to a fixed release
FortiNDR 1.41.4 all versionsMigrate to a fixed release
FortiNDR 1.31.3 all versionsMigrate to a fixed release
FortiNDR 1.21.2 all versionsMigrate to a fixed release
FortiNDR 1.11.1 all versionsMigrate to a fixed release
FortiRecorder 7.0Not affectedNot Applicable
FortiRecorder 6.46.4.0 through 6.4.2Upgrade to 6.4.3 or above
FortiRecorder 6.06.0.0 through 6.0.11Upgrade to 6.0.12 or above
FortiRecorder 2.72.7 all versionsMigrate to a fixed release
FortiRecorder 2.62.6 all versionsMigrate to a fixed release
FortiSwitch 7.2Not affectedNot Applicable
FortiSwitch 7.07.0.0 through 7.0.4Upgrade to 7.0.5 or above
FortiSwitch 6.46.4.0 through 6.4.10Upgrade to 6.4.11 or above
FortiSwitch 6.26.2 all versionsMigrate to a fixed release
FortiSwitch 6.06.0 all versionsMigrate to a fixed release
FortiVoice 7.0Not affectedNot Applicable
FortiVoice 6.46.4.0 through 6.4.7Upgrade to 6.4.8 or above
FortiVoice 6.06.0.0 through 6.0.11Upgrade to 6.0.12 or above

참조 사이트 : https://fortiguard.fortinet.com/psirt/FG-IR-22-038



4. FortiOS 및 FortiProxy - HTTPSd의 형식 문자열 버그

요약 : FortiOS, FortiProxy 및 FortiPAM의 HTTPSd 데몬에 있는 형식 문자열 취약점[CWE-134]으로 인해 인증된 사용자가 특별히 제작된 API 요청을 통해 승인되지 않은 코드나 명령을 실행할 수 있습니다.

VersionAffectedSolution
FortiOS 7.47.4.0Upgrade to 7.4.1 or above
FortiOS 7.27.2.0 through 7.2.4Upgrade to 7.2.5 or above
FortiOS 7.07.0.0 through 7.0.11Upgrade to 7.0.12 or above
FortiOS 6.46.4.0 through 6.4.12Upgrade to 6.4.13 or above
FortiOS 6.26.2.0 through 6.2.15Upgrade to 6.2.16 or above
FortiOS 6.06.0 all versionsMigrate to a fixed release
FortiPAM 1.2Not affectedNot Applicable
FortiPAM 1.11.1.0Upgrade to 1.1.1 or above
FortiPAM 1.01.0 all versionsMigrate to a fixed release
FortiProxy 7.4Not affectedNot Applicable
FortiProxy 7.27.2.0 through 7.2.4Upgrade to 7.2.5 or above
FortiProxy 7.07.0.0 through 7.0.10Upgrade to 7.0.11 or above

참조 사이트 : https://fortiguard.fortinet.com/psirt/FG-IR-23-138



5. FortiOS 및 FortiProxy - 방화벽 거부 정책 우회

요약 : FortiOS 및 FortiProxy의 부적절한 액세스 제어 취약성[CWE-284]으로 인해 원격 인증되지 않은 공격자가 GeoIP 데이터베이스 업데이트로 우회 타이밍을 조정하여 방화벽 거부 지역화 정책을 우회할 수 있습니다.


 

VersionAffectedSolution
FortiOS 7.4Not AffectedNot Applicable
FortiOS 7.27.2.0Upgrade to 7.2.1 or above
FortiOS 7.07.0 all versionsMigrate to a fixed release
FortiOS 6.46.4 all versionsMigrate to a fixed release
FortiProxy 7.4Not AffectedNot Applicable
FortiProxy 7.27.2.0 through 7.2.3Upgrade to 7.2.4 or above
FortiProxy 7.07.0.0 through 7.0.9Upgrade to 7.0.10 or above
FortiProxy 2.02.0.0 through 2.0.12Upgrade to 2.0.13 or above

참조 사이트 : https://fortiguard.fortinet.com/psirt/FG-IR-23-432



6. 캐시 관리에서 두 배의 무료

요약 :  FortiOS 및 FortiPAM HTTPSd 데몬의 이중 자유 취약점[CWE-415]으로 인해 인증된 공격자가 특별히 제작된 명령을 통해 임의 코드를 실행할 수 있습니다.

VersionAffectedSolution
FortiOS 7.2Not affectedNot Applicable
FortiOS 7.07.0.0 through 7.0.5Upgrade to 7.0.6 or above
FortiOS 6.4Not affectedNot Applicable
FortiPAM 1.2Not affectedNot Applicable
FortiPAM 1.11.1.0 through 1.1.1Upgrade to 1.1.2 or above
FortiPAM 1.01.0 all versionsMigrate to a fixed release

참조 사이트 : https://fortiguard.fortinet.com/psirt/FG-IR-23-196



7.FortiSandbox - 반사된 크로스 사이트 스크립팅(XSS)

요약 : FortiSandbox의 웹 페이지 생성('교차 사이트 스크립팅') 취약성[CWE-79] 중 입력을 부적절하게 무력화하면 인증된 공격자가 트래픽 캡처 엔드포인트에서 조작된 HTTP 요청을 통해 교차 사이트 스크립팅 공격을 수행할 수 있습니다.

VersionAffectedSolution
FortiSandbox 4.44.4.0 through 4.4.2Upgrade to 4.4.3 or above
FortiSandbox 4.24.2 all versionsMigrate to a fixed release
FortiSandbox 4.04.0 all versionsMigrate to a fixed release
FortiSandbox 3.23.2 all versionsMigrate to a fixed release
FortiSandbox 3.13.1 all versionsMigrate to a fixed release
FortiSandbox 3.03.0.4 and aboveMigrate to a fixed release

참조 사이트 : https://fortiguard.fortinet.com/psirt/FG-IR-23-214