| No. | Title | CVE ID | Severity | Model |
| 1 | CLI에서 인증된 SQLI | CVE-2024-33501 | Medium | FortiAnalyzer/FortiManager |
| 2 | CLI 명령에서 스택 버퍼 오버플로우 발생 | CVE-2024-46663 | Medium | FortiMail |
| 3 | 관리자 엔드포인트에서의 크로스 사이트 요청 위조 | CVE-2023-48790 | High | FortiNDR |
| 4 | CLI에서 여러 명령 주입 | CVE-2024-55590 | High | FortiIsolator |
| 5 | Fortiview/SecurityLogs 페이지의 XSS 결함 | CVE-2023-37933 | High | FortiADC |
| 6 | GUI 콘솔에서 잘못된 권한 부여 | CVE-2024-45328 | High | FortiSandbox |
| 7 | Apache Camel 취약점 - CVE-2025-27636 | CVE-2025-27636 | Medium | Fortinet 제품은 CVE-2025-27636의 영향을 받지 않습니다. |
| 8 | 인시던트 페이지에 잘못된 권한이 있습니다. | CVE-2024-55592 | Low | FortiSIEM |
| 9 | OpenSSH에서의 사전 인증 서비스 거부 공격 - CVE-2025-26466 | CVE-2025-26466 | Medium | 조사 중-아래 참고 |
| 10 | 디렉토리 탐색 임의 파일 쓰기 취약점 | CVE-2024-55597 | Medium | FortiWeb |
| 11 | 관리 인터페이스에서의 OS 명령 주입 | CVE-2024-54018 | Medium | FortiSandbox |
| 12 | 다중 포맷 문자열 취약점 | CVE-2024-45324 | High | FortiOS/FortiPAM/FortiProxy /FortiSRA/FortiWeb |
| 13 | 빈 파일 이름을 사용하여 웹 애플리케이션 방화벽 규칙을 우회합니다. | CVE-2023-42784 CVE-2024-55594 | Medium | FortiWeb |
| 14 | 허가받지 않은 행위자에게 민감한 정보 노출 | CVE-2023-40723 | High | FortiSIEM |
| 15 | VM 다운로드 기능과 관련된 서버 측 보안의 클라이언트 측 적용 | CVE-2024-52960 | Medium | FortiSandbox |
| 16 | 원격 백업 서버 암호 암호화에 사용되는 하드코딩된 키 사용 | CVE-2024-54027 | High | FortiSandbox |
| 17 | 장치 del 기능의 오류 기반 SQLI | CVE-2024-54026 | Medium | FortiSandbox |
| 18 | VM 다운로드 기능에 대한 OS 명령 주입 | CVE-2024-52961 | High | FortiSandbox |
| 19 | CLI 명령에서 OS 명령 주입 | CVE-2024-32123 | Medium | FortiAnalyzer/FortiManager |
1. CLI에서 인증된 SQLI(https://fortiguard.fortinet.com/psirt/FG-IR-24-130)
FortiAnalyzer, FortiManager 및 FortiAnalyzer-BigData의 SQL 명령('SQL 주입') 취약성[CWE-89]에 사용되는 특수 요소의 부적절한 무력화로 인해 권한이 있는 공격자가 특별히 제작된 CLI 요청을 통해 승인되지 않은 코드나 명령을 실행할 수 있습니다.
| Version | Affected | Solution |
| FortiAnalyzer 7.6 | Not affected | Not Applicable |
| FortiAnalyzer 7.4 | 7.4.0 through 7.4.2 | Upgrade to 7.4.3 or above |
| FortiAnalyzer 7.2 | 7.2.0 through 7.2.5 | Upgrade to 7.2.6 or above |
| FortiAnalyzer 7.0 | 7.0 all versions | Migrate to a fixed release |
| FortiAnalyzer 6.4 | 6.4 all versions | Migrate to a fixed release |
| FortiAnalyzer-BigData 7.4 | 7.4.0 | Upgrade to 7.4.1 or above |
| FortiAnalyzer-BigData 7.2 | 7.2.0 through 7.2.7 | Upgrade to 7.2.8 or above |
| FortiAnalyzer-BigData 7.0 | 7.0 all versions | Migrate to a fixed release |
| FortiAnalyzer-BigData 6.4 | 6.4 all versions | Migrate to a fixed release |
| FortiManager 7.6 | Not affected | Not Applicable |
| FortiManager 7.4 | 7.4.0 through 7.4.2 | Upgrade to 7.4.3 or above |
| FortiManager 7.2 | 7.2.0 through 7.2.5 | Upgrade to 7.2.6 or above |
| FortiManager 7.0 | 7.0 all versions | Migrate to a fixed release |
| FortiManager 6.4 | 6.4 all versions | Migrate to a fixed release |
| FortiManager 6.2 | 6.2.8 through 6.2.13 | Migrate to a fixed release |
| FortiManager 6.0 | 6.0.10 through 6.0.12 | Migrate to a fixed release |
2. CLI 명령에서 스택 버퍼 오버플로우 발생(https://fortiguard.fortinet.com/psirt/FG-IR-24-331)
FortiMail CLI의 스택 버퍼 오버플로 취약점[CWE-121]으로 인해 권한이 있는 공격자가 특별히 제작된 CLI 명령을 통해 임의의 코드나 명령을 실행할 수 있습니다.
| Version | Affected | Solution |
| FortiMail 7.6 | 7.6.0 through 7.6.1 | Upgrade to 7.6.2 or above |
| FortiMail 7.4 | 7.4.0 through 7.4.3 | Upgrade to 7.4.4 or above |
| FortiMail 7.2 | 7.2 all versions | Migrate to a fixed release |
| FortiMail 7.0 | 7.0 all versions | Migrate to a fixed release |
| FortiMail 6.4 | 6.4 all versions | Migrate to a fixed release |
3. 관리자 엔드포인트에서의 크로스 사이트 요청 위조(https://fortiguard.fortinet.com/psirt/FG-IR-23-353)
FortiNDR의 크로스 사이트 요청 위조 취약점[CWE-352]으로 인해 원격의 인증되지 않은 공격자가 조작된 HTTP GET 요청을 통해 승인되지 않은 작업을 실행할 수 있습니다.
| Version | Affected | Solution |
| FortiNDR 7.6 | Not affected | Not Applicable |
| FortiNDR 7.4 | 7.4.0 | Upgrade to 7.4.1 or above |
| FortiNDR 7.2 | 7.2.0 through 7.2.1 | Upgrade to 7.2.2 or above |
| FortiNDR 7.1 | 7.1.0 through 7.1.1 | Upgrade to 7.1.2 or above |
| FortiNDR 7.0 | 7.0.0 through 7.0.5 | Upgrade to 7.0.6 or above |
| FortiNDR 1.5 | 1.5 all versions | Migrate to a fixed release |
| FortiNDR 1.4 | Not affected | Not Applicable |
4. CLI에서 여러 명령 주입(https://fortiguard.fortinet.com/psirt/FG-IR-24-178)
FortiIsolator의 OS 명령에 사용되는 특수 요소의 다중 부적절한 무력화('OS 명령 주입') 취약점[CWE-78]으로 인해 읽기 전용 관리자 권한과 CLI 액세스 권한이 있는 인증된 공격자가 특별히 제작된 CLI 명령을 통해 승인되지 않은 코드를 실행할 수 있습니다.
| Version | Affected | Solution |
| FortiIsolator 2.4 | 2.4.0 through 2.4.5 | Upgrade to 2.4.6 or above |
| FortiIsolator 2.3 | Not affected | Not Applicable |
| FortiIsolator 2.2 | Not affected | Not Applicable |
5. Fortiview/SecurityLogs 페이지의 XSS 결함(https://fortiguard.fortinet.com/psirt/FG-IR-23-216)
FortiADC GUI의 웹 페이지 생성 중 입력을 부적절하게 무력화하는('교차 사이트 스크립팅') 취약점[CWE-79]으로 인해 인증된 공격자가 조작된 HTTP 또는 HTTPS 요청을 통해 XSS 공격을 수행할 수 있습니다.
| Version | Affected | Solution |
| FortiADC 7.6 | Not affected | Not Applicable |
| FortiADC 7.4 | 7.4.0 | Upgrade to 7.4.1 or above |
| FortiADC 7.2 | 7.2.0 through 7.2.1 | Upgrade to 7.2.2 or above |
| FortiADC 7.1 | 7.1.0 through 7.1.3 | Upgrade to 7.1.4 or above |
| FortiADC 7.0 | 7.0 all versions | Migrate to a fixed release |
| FortiADC 6.2 | 6.2 all versions | Migrate to a fixed release |
| FortiADC 6.1 | 6.1 all versions | Migrate to a fixed release |
| FortiADC 6.0 | 6.0 all versions | Migrate to a fixed release |
| FortiADC 5.4 | 5.4 all versions | Migrate to a fixed release |
| FortiADC 5.3 | 5.3 all versions | Migrate to a fixed release |
6. GUI 콘솔에서 잘못된 권한 부여(https://fortiguard.fortinet.com/psirt/FG-IR-24-261)
FortiSandbox의 잘못된 인증 취약점[CWE-863]으로 인해 권한이 낮은 관리자가 GUI 콘솔 메뉴를 통해 상승된 CLI 명령을 실행할 수 있습니다.
| Version | Affected | Solution |
| FortiSandbox 5.0 | Not affected | Not Applicable |
| FortiSandbox 4.4 | 4.4.0 through 4.4.6 | Upgrade to 4.4.7 or above |
| FortiSandbox 4.2 | Not affected | Not Applicable |
| FortiSandbox 4.0 | Not affected | Not Applicable |
7. Apache Camel 취약점 - CVE-2025-27636(https://fortiguard.fortinet.com/psirt/FG-IR-25-166)
CVE-2025-27636
특정 조건에서 Apache Camel-Bean 구성 요소의 우회/주입 취약성. 이 문제는 Apache Camel에 영향을 미칩니다. 4.10.0에서 <= 4.10.1, 4.8.0에서 <= 4.8.4, 3.10.0에서 <= 3.22.3. 사용자는 4.10.x LTS의 경우 4.10.2 버전으로, 4.8.x LTS의 경우 4.8.5 버전으로, 3.x 릴리스의 경우 3.22.4 버전으로 업그레이드하는 것이 좋습니다. 이 취약성은 다음 상황에서만 존재합니다. 사용자는 다음 Camel 구성 요소 중 하나를 통해 다음 HTTP 서버 중 하나를 사용하고 있습니다. * camel-servlet * camel-jetty * camel-undertow * camel-platform-http * camel-netty-http 그리고 경로에서 교환은 camel-bean producer로 라우팅됩니다. 따라서 camel-bean 구성 요소만 영향을 받습니다. 특히: * 빈 호출(위의 항목을 camel-bean 구성 요소와 함께 사용하는 경우에만 영향을 받음). * 호출할 수 있는 빈에는 2개 이상의 메서드가 구현되어 있음. 이러한 조건에서 공격자는 Camel 헤더 이름을 위조하여 동일한 빈에서 다른 메서드를 호출하는 빈 구성 요소를 만들 수 있습니다. 이 취약성은 "Camel", "camel" 또는 "org.apache.camel."로 시작하는 헤더만 차단하는 기본 필터링 메커니즘의 버그로 인해 발생합니다. 완화책: Camel 경로에서 헤더를 제거하여 Camel 애플리케이션에서 이를 쉽게 해결할 수 있습니다. 이 작업을 수행하는 방법은 여러 가지가 있으며 전역적으로 또는 경로별로 수행할 수도 있습니다. 즉, removeHeaders EIP를 사용하여 "cAmel, cAMEL" 등과 같은 모든 것을 필터링하거나 일반적으로 "Camel", "camel" 또는 "org.apache.camel."로 시작하지 않는 모든 것을 필터링할 수 있습니다.
8. 인시던트 페이지에 잘못된 권한이 있습니다.(https://fortiguard.fortinet.com/psirt/FG-IR-24-377)
FortiSIEM의 잘못된 인증 취약점[CWE-863]으로 인해 인증된 공격자가 조작된 HTTP 요청을 통해 사고에 대해 승인되지 않은 작업을 수행할 수 있습니다.
| Version | Affected | Solution |
| FortiSIEM 7.3 | Not affected | Not Applicable |
| FortiSIEM 7.2 | 7.2 all versions | Migrate to a fixed release |
| FortiSIEM 7.1 | 7.1 all versions | Migrate to a fixed release |
| FortiSIEM 7.0 | 7.0 all versions | Migrate to a fixed release |
| FortiSIEM 6.7 | 6.7 all versions | Migrate to a fixed release |
| FortiSIEM 6.6 | 6.6 all versions | Migrate to a fixed release |
| FortiSIEM 6.5 | 6.5 all versions | Migrate to a fixed release |
| FortiSIEM 6.4 | 6.4 all versions | Migrate to a fixed release |
| FortiSIEM 6.3 | 6.3 all versions | Migrate to a fixed release |
| FortiSIEM 6.2 | 6.2 all versions | Migrate to a fixed release |
| FortiSIEM 6.1 | 6.1 all versions | Migrate to a fixed release |
| FortiSIEM 5.4 | 5.4 all versions | Migrate to a fixed release |
| FortiSIEM 5.3 | 5.3 all versions | Migrate to a fixed release |
9. OpenSSH에서의 사전 인증 서비스 거부 공격 - CVE-2025-26466(https://fortiguard.fortinet.com/psirt/FG-IR-25-122)
CVE-2025-26466
OpenSSH 패키지에서 결함이 발견되었습니다. SSH 서버가 수신하는 각 ping 패킷에 대해 퐁 패킷이 메모리 버퍼에 할당되고 패키지 대기열에 저장됩니다. 서버/클라이언트 키 교환이 완료된 경우에만 해제됩니다. 악의적인 클라이언트가 이러한 패키지를 계속 보내 서버 측에서 메모리 소비가 통제되지 않게 증가할 수 있습니다. 결과적으로 서버를 사용할 수 없게 되어 서비스 거부 공격이 발생할 수 있습니다.
조사 중인 제품:
FortiManager
FortiAnalyzer
FortiAnalyzer-BigData
FortiWeb
FortiADC
FortiADCManager
FortiSandbox
FortiSwitch
FortiAIOps
FortiNDR
FortiVoice
FortiRecorder
FortiMail
FortiTester
FortiDDoS-F
FortiGuest
FortiExtender
FortiEDR
영향을 받지 않는 것으로 확인된 제품:
FortiOS
FortiProxy
FortiPAM
FortiAuthenticator
FortiPortal
FortiSwitchManager
FortiWebManager
FortiDeceptor
FortiNAC FortiNAC
-F
FortiSIEM
FortiSOAR
FortiWLC
FortiDDoS
FortiAP
FortiAP-U
10. 디렉토리 탐색 임의 파일 쓰기 취약점(https://fortiguard.fortinet.com/psirt/FG-IR-24-439)
FortiWeb API 엔드포인트의 제한된 디렉토리에 대한 경로명의 부적절한 제한(경로 횡단) 취약점[CWE-22]으로 인해 관리자 권한이 있는 인증된 공격자가 파일 시스템에 액세스하여 수정할 수 있습니다.
| Version | Affected | Solution |
| FortiWeb 7.6 | 7.6.0 | Upgrade to 7.6.1 or above |
| FortiWeb 7.4 | 7.4.0 through 7.4.5 | Upgrade to 7.4.6 or above |
| FortiWeb 7.2 | 7.2 all versions | Migrate to a fixed release |
| FortiWeb 7.0 | 7.0 all versions | Migrate to a fixed release |
11. 관리 인터페이스에서의 OS 명령 주입(https://fortiguard.fortinet.com/psirt/FG-IR-24-110)
FortiSandbox의 OS 명령 취약성[CWE-78]에 사용되는 특수 요소의 다중 부적절한 무력화로 인해 권한이 있는 공격자가 정교하게 제작된 요청을 통해 승인되지 않은 명령을 실행할 수 있습니다.
| Version | Affected | Solution |
| FortiSandbox 5.0 | Not affected | Not Applicable |
| FortiSandbox 4.4 | 4.4.0 through 4.4.5 | Upgrade to 4.4.6 or above |
| FortiSandbox 4.2 | 4.2 all versions | Migrate to a fixed release |
| FortiSandbox 4.0 | 4.0 all versions | Migrate to a fixed release |
| FortiSandbox 3.2 | 3.2 all versions | Migrate to a fixed release |
12. 다중 포맷 문자열 취약점(https://fortiguard.fortinet.com/psirt/FG-IR-24-325)
FortiOS, FortiProxy, FortiPAM, FortiSRA 및 FortiWeb의 외부 제어 형식 문자열 취약성[CWE-134] 사용으로 인해 권한이 있는 공격자가 특별히 제작된 HTTP 또는 HTTPS 명령을 통해 승인되지 않은 코드나 명령을 실행할 수 있습니다.
| Version | Affected | Solution |
| FortiOS 7.6 | Not affected | Not Applicable |
| FortiOS 7.4 | 7.4.0 through 7.4.4 | Upgrade to 7.4.5 or above |
| FortiOS 7.2 | 7.2.0 through 7.2.9 | Upgrade to 7.2.10 or above |
| FortiOS 7.0 | 7.0.0 through 7.0.15 | Upgrade to 7.0.16 or above |
| FortiOS 6.4 | 6.4.0 through 6.4.15 | Upgrade to 6.4.16 or above |
| FortiOS 6.2 | 6.2 all versions | Migrate to a fixed release |
| FortiPAM 1.5 | Not affected | Not Applicable |
| FortiPAM 1.4 | 1.4.0 through 1.4.2 | Upgrade to 1.4.3 or above |
| FortiPAM 1.3 | 1.3.0 through 1.3.1 | Upgrade to 1.3.2 or above |
| FortiPAM 1.2 | 1.2 all versions | Migrate to a fixed release |
| FortiPAM 1.1 | 1.1 all versions | Migrate to a fixed release |
| FortiPAM 1.0 | 1.0 all versions | Migrate to a fixed release |
| FortiProxy 7.6 | 7.6.0 | Upgrade to 7.6.1 or above |
| FortiProxy 7.4 | 7.4.0 through 7.4.6 | Upgrade to 7.4.7 or above |
| FortiProxy 7.2 | 7.2.0 through 7.2.12 | Upgrade to 7.2.13 or above |
| FortiProxy 7.0 | 7.0.0 through 7.0.19 | Upgrade to 7.0.20 or above |
| FortiProxy 2.0 | Not affected | Not Applicable |
| FortiSRA 1.5 | Not affected | Not Applicable |
| FortiSRA 1.4 | 1.4.0 through 1.4.2 | Upgrade to 1.4.3 or above |
| FortiWeb 7.6 | 7.6.0 | Upgrade to 7.6.1 or above |
| FortiWeb 7.4 | 7.4.0 through 7.4.5 | Upgrade to 7.4.6 or above |
| FortiWeb 7.2 | 7.2.0 through 7.2.10 | Upgrade to 7.2.11 or above |
| FortiWeb 7.0 | 7.0.0 through 7.0.10 | Upgrade to 7.0.11 or above |
13. 빈 파일 이름을 사용하여 웹 애플리케이션 방화벽 규칙을 우회합니다.(https://fortiguard.fortinet.com/psirt/FG-IR-23-115)
FortiWeb의 구문적으로 잘못된 구조의 두 가지 부적절한 처리 취약점[CWE-228]으로 인해 인증되지 않은 공격자가 HTTP/S로 제작된 요청을 통해 웹 방화벽 보호를 우회할 수 있습니다.
MANDATORY steps to enable the fix :
Update to the latest FDS version
Approve signature 050240001
Enable signature policy in corresponding Web Protection Profile, "Say Standard Protection"
Go to Web Protection/Input Validation/File Security/File Security Rule
Click Create New, set name to "file_security"
In "Request URL Type" choose "Regular Expression" in "Request URL"
Add "/" Click "OK"
Go to Web Protection/Input Validation/File Security/File Security Policy
Click Create New
Set a name say file_test
Enable "Signature Detection", Click "OK"
Click "Create New", Select the above added "File Security Rule", Click "OK"
In CLI :
'''
Config waf http-protocol-parameter-restriction
edit "hpc1"
set chunk-size-action alert_deny
set chunk-size-severity High
next
end
'''
14. 허가받지 않은 행위자에게 민감한 정보 노출(https://fortiguard.fortinet.com/psirt/FG-IR-23-117)
FortiSIEM의 무단 행위자 취약성[CWE-200]으로 인한 민감한 정보 노출로 인해 다른 수단을 통해 에이전트의 권한 헤더에 대한 정보를 얻은 원격의 인증되지 않은 공격자가 정교하게 만들어진 API 요청을 통해 데이터베이스 비밀번호를 읽을 수 있습니다.
| Version | Affected | Solution |
| FortiSIEM 7.3 | Not affected | Not Applicable |
| FortiSIEM 7.2 | Not affected | Not Applicable |
| FortiSIEM 7.1 | Not affected | Not Applicable |
| FortiSIEM 7.0 | Not affected | Not Applicable |
| FortiSIEM 6.7 | 6.7.0 through 6.7.4 | Upgrade to 6.7.5 or above |
| FortiSIEM 6.6 | 6.6.0 through 6.6.3 | Upgrade to 6.6.4 or above |
| FortiSIEM 6.5 | 6.5.0 through 6.5.1 | Upgrade to 6.5.2 or above |
| FortiSIEM 6.4 | 6.4.0 through 6.4.2 | Upgrade to 6.4.3 or above |
| FortiSIEM 6.3 | 6.3 all versions | Migrate to a fixed release |
| FortiSIEM 6.2 | 6.2 all versions | Migrate to a fixed release |
| FortiSIEM 6.1 | 6.1 all versions | Migrate to a fixed release |
| FortiSIEM 5.4 | 5.4 all versions | Migrate to a fixed release |
| FortiSIEM 5.3 | 5.3 all versions | Migrate to a fixed release |
| FortiSIEM 5.2 | 5.2 all versions | Migrate to a fixed release |
| FortiSIEM 5.1 | 5.1 all versions | Migrate to a fixed release |
15. VM 다운로드 기능과 관련된 서버 측 보안의 클라이언트 측 적용(https://fortiguard.fortinet.com/psirt/FG-IR-24-305)
FortiSandbox의 서버 측 보안 취약성[CWE-602]의 클라이언트 측 적용으로 인해 읽기 전용 이상의 권한이 있는 인증된 공격자가 조작된 요청을 통해 승인되지 않은 명령을 실행할 수 있습니다.
| Version | Affected | Solution |
| FortiSandbox 5.0 | 5.0.0 | Upgrade to 5.0.1 or above |
| FortiSandbox 4.4 | 4.4.0 through 4.4.6 | Upgrade to 4.4.7 or above |
| FortiSandbox 4.2 | 4.2.0 through 4.2.7 | Upgrade to 4.2.8 or above |
| FortiSandbox 4.0 | 4.0 all versions | Migrate to a fixed release |
| FortiSandbox 3.2 | 3.2 all versions | Migrate to a fixed release |
| FortiSandbox 3.1 | 3.1 all versions | Migrate to a fixed release |
| FortiSandbox 3.0 | 3.0 all versions | Migrate to a fixed release |
16. 원격 백업 서버 암호 암호화에 사용되는 하드코딩된 키 사용(https://fortiguard.fortinet.com/psirt/FG-IR-24-327)
FortiSandbox의 하드코딩된 암호화 키 사용 취약성[CWE-321]을 통해 슈퍼 관리자 프로필과 CLI 액세스 권한이 있는 권한이 있는 공격자가 CLI를 통해 중요 데이터를 읽을 수 있습니다.
| Version | Affected | Solution |
| FortiSandbox 5.0 | 5.0.0 | Upgrade to 5.0.1 or above |
| FortiSandbox 4.4 | 4.4.0 through 4.4.6 | Upgrade to 4.4.7 or above |
| FortiSandbox 4.2 | 4.2.0 through 4.2.7 | Upgrade to 4.2.8 or above |
| FortiSandbox 4.0 | 4.0.0 through 4.0.5 | Upgrade to 4.0.6 or above |
| FortiSandbox 3.2 | 3.2 all versions | Migrate to a fixed release |
| FortiSandbox 3.1 | 3.1 all versions | Migrate to a fixed release |
| FortiSandbox 3.0 | 3.0.5 through 3.0.7 | Migrate to a fixed release |
17. 장치 del 기능의 오류 기반 SQLI(https://fortiguard.fortinet.com/psirt/FG-IR-24-353)
FortiSandbox의 SQL 명령('SQL 주입') 취약성[CWE-89]에 사용되는 특수 요소의 부적절한 무력화로 인해 권한이 있는 공격자가 특별히 제작된 HTTP 요청을 통해 승인되지 않은 코드나 명령을 실행할 수 있습니다.
| Version | Affected | Solution |
| FortiSandbox 5.0 | Not affected | Not Applicable |
| FortiSandbox 4.4 | 4.4.0 through 4.4.6 | Upgrade to 4.4.7 or above |
| FortiSandbox 4.2 | 4.2 all versions | Migrate to a fixed release |
| FortiSandbox 4.0 | 4.0 all versions | Migrate to a fixed release |
| FortiSandbox 3.2 | 3.2 all versions | Migrate to a fixed release |
| FortiSandbox 3.1 | 3.1 all versions | Migrate to a fixed release |
| FortiSandbox 3.0 | 3.0 all versions | Migrate to a fixed release |
18. VM 다운로드 기능에 대한 OS 명령 주입(https://fortiguard.fortinet.com/psirt/FG-IR-24-306)
FortiSandbox의 OS 명령 취약성[CWE-78]에서 사용되는 특수 요소의 부적절한 무력화로 인해 읽기 전용 이상의 권한이 있는 인증된 공격자가 정교하게 만들어진 요청을 통해 승인되지 않은 명령을 실행할 수 있습니다.
| Version | Affected | Solution |
| FortiSandbox 5.0 | 5.0.0 | Upgrade to 5.0.1 or above |
| FortiSandbox 4.4 | 4.4.0 through 4.4.6 | Upgrade to 4.4.7 or above |
| FortiSandbox 4.2 | 4.2.0 through 4.2.7 | Upgrade to 4.2.8 or above |
| FortiSandbox 4.0 | 4.0.0 through 4.0.5 | Upgrade to 4.0.6 or above |
| FortiSandbox 3.2 | 3.2 all versions | Migrate to a fixed release |
| FortiSandbox 3.1 | 3.1 all versions | Migrate to a fixed release |
| FortiSandbox 3.0 | 3.0 all versions | Migrate to a fixed release |
19. CLI 명령에서 OS 명령 주입(https://fortiguard.fortinet.com/psirt/FG-IR-24-124)
FortiManager CLI의 OS 명령에 사용되는 특수 요소의 다중적 부적절한 무력화('OS 명령 주입') 취약성[CWE-78]으로 인해 권한이 있는 공격자가 정교하게 조작된 CLI 요청을 통해 승인되지 않은 코드나 명령을 실행할 수 있습니다.
| Version | Affected | Solution |
| FortiAnalyzer 7.6 | Not affected | Not Applicable |
| FortiAnalyzer 7.4 | 7.4.0 through 7.4.2 | Upgrade to 7.4.4 or above |
| FortiAnalyzer 7.2 | 7.2.0 through 7.2.5 | Upgrade to 7.2.6 or above |
| FortiAnalyzer 7.0 | 7.0 all versions | Migrate to a fixed release |
| FortiAnalyzer 6.4 | 6.4 all versions | Migrate to a fixed release |
| FortiAnalyzer 6.2 | 6.2 all versions | Migrate to a fixed release |
| FortiAnalyzer-BigData 7.4 | 7.4.0 through 7.4.1 | Upgrade to 7.4.2 or above |
| FortiAnalyzer-BigData 7.2 | 7.2.0 through 7.2.7 | Upgrade to 7.2.8 or above |
| FortiAnalyzer-BigData 7.0 | 7.0 all versions | Migrate to a fixed release |
| FortiAnalyzer-BigData 6.4 | 6.4 all versions | Migrate to a fixed release |
| FortiManager 7.6 | Not affected | Not Applicable |
| FortiManager 7.4 | 7.4.0 through 7.4.3 | Upgrade to 7.4.4 or above |
| FortiManager 7.2 | 7.2.0 through 7.2.5 | Upgrade to 7.2.6 or above |
| FortiManager 7.0 | 7.0 all versions | Migrate to a fixed release |
| FortiManager 6.4 | 6.4 all versions | Migrate to a fixed release |
| FortiManager 6.2 | 6.2 all versions | Migrate to a fixed release |
| FortiManager 6.0 | 6.0 all versions | Migrate to a fixed release |
| FortiManager 5.6 | 5.6 all versions | Migrate to a fixed release |
| FortiManager 5.4 | 5.4 all versions | Migrate to a fixed release |
| FortiManager 5.2 | 5.2 all versions | Migrate to a fixed release |
| FortiManager 5.0 | 5.0 all versions | Migrate to a fixed release |
| FortiManager 4.3 | 4.3.4 through 4.3.8 | Migrate to a fixed release |