보안취약점

2023.03.06
월, 3월 6, 2023 시간: 10:16 AM
해당 취약점은 모두 최신의 firmware에서 해결이 되었습니다.  (6.0은 더 이상 engineering support되지 않아 패치 버전이 제공되지 않습니다.) 모든 취약점 이슈는 CVSSv3 점수가 4점대로 낮은 중간단계의 (중간 4.0 - 6.9) 취약점입니다. - ...
2023.03.08-CVE-2023-25610
수, 3월 8, 2023 시간: 11:03 AM
CVE-2023-25610 https://www.fortiguard.com/psirt/FG-IR-23-001  요약 FortiOS 및 FortiProxy 관리 인터페이스의 버퍼 언더라이트('버퍼 언더플로') 취약성으로 인해 인증되지 않은 원격 공격자가 ...
2023.06.13_CVE-2023-27997-Heap buffer overflow in sslvpn pre-authentication
화, 6월 13, 2023 시간: 4:53 PM
FortiOS 및 FortiProxy SSL-VPN의 힙 기반 버퍼 오버플로 취약점[CWE-122]으로  원격 공격자가 특별히 제작된 요청을 통해 임의의 코드 또는 명령을 실행할 수 있습니다.  현재 EOS되지 않은 모든 OS가 해당됨으로 SSLVPN을 사용하고 있다면,...
2023.06.19 CVE-2023-25606-FortiAnalyzer & FortiManager - Path traversal in history downloadzip
월, 7월 17, 2023 시간: 3:50 PM
요약 FortiAnalyzer 및 FortiManager 관리 인터페이스의 제한된 디렉터리('경로 순회') 취약성[CWE-23]에 대한 경로 이름의 부적절한 제한으로 인해 인증된 원격 공격자가 특수 제작된 웹 요청을 통해 기본 파일 시스템에서 임의의 파일을 검색...
2023.07.11 - CVE-2023-28001- FortiOS - Existing websocket connection persists after deleting API admin
월, 7월 17, 2023 시간: 3:52 PM
요약 FortiOS REST API의 불충분한 세션 만료[CWE-613] 취약점으로 인해 공격자가 API 토큰을 얻을 수 있는 경우 삭제된 사용자의 세션을 재사용할 수 있습니다 . 영향을 받는 제품 FortiOS 버전 7.2.0 ~ 7.2.4 FortiOS 7.0 모든 ...
2023.07.11 - CVE-2023-33308 - FortiOS/FortiProxy - Proxy mode with deep inspection - Stack-based buffer overflow
월, 7월 17, 2023 시간: 3:53 PM
요약 FortiOS 및 FortiProxy의 스택 기반 오버플로 취약점[CWE-124]으로 인해 원격 공격자가 SSL 심층 패킷 검사와 함께 프록시 모드로 프록시 정책 또는 방화벽 정책에 도달하는 조작된 패킷을 통해 임의의 코드 또는 명령을 실행할 수 있습니다.   해결 방...
2023년 8월 8일-CVE-2023-29182-FortiOS - 익스텐더 명령 실행 시 버퍼 오버플로
목, 8월 10, 2023 시간: 9:39 AM
요약 FortiOS의 스택 기반 버퍼 오버플로 취약성[CWE-121]은 공격자가 FortiOS 스택 보호를 피할 수 있는 경우 권한 있는 공격자가 특수 제작된 CLI 명령을 통해 임의 코드를 실행할 수 있도록 허용할 수 있습니다. 영향을 받는 제품 FortiOS 버전 ...
CVE-2023-29183_FortiOS_20230913_게스트 관리 페이지에 저장된 XSS
수, 9월 20, 2023 시간: 10:00 AM
요약 FortiOS 및 FortiProxy GUI의 웹 페이지 생성('교차 사이트 스크립팅') 취약성[CWE-79] 중 입력을 부적절하게 무력화하면 인증된 공격자가 조작된 게스트 관리 설정을 통해 악성 JavaScript 코드 실행을 트리거할 수 있습니다. ...
CVE-2023-36551_FortiSIEM_20230907_전체 경로 공개 취약점
수, 9월 20, 2023 시간: 10:02 AM
요약 FortiSIEM의 무단 공격자 취약점[CWE-200]에 민감한 정보가 노출되면 인증된 공격자가 감독자가 사용하는 파일의 절대 경로를 얻을 수 있으며, 이는 다른 취약점과 함께 사용되면 위험할 수 있습니다. 영향을 받는 제품 FortiSIEM 버전 6.7.0~6....
CVE-2023-36638_FortiManager/FortiAnalyzer_20230901_API 요청에 대한 부적절한 권한 관리
수, 9월 20, 2023 시간: 10:04 AM
요약 FortiManager 및 FortiAnalyzer API의 부적절한 권한 관리 취약점[CWE-269]으로 인해 인증된 원격 API 관리자가 도난당한 GUI 세션 ID를 통해 API를 통해 메일 서버 설정과 같은 일부 시스템 설정에 액세스할 수 있습니다. 영향을 받...