Technical Service Center

요약 FortiSIEM 파일 업로드 구성 요소의 상대 경로 탐색 취약점[CWE-23]으로 인해 FortiSIEM GUI의 인증되고 권한이 낮은 사용자가 특별히 제작된 HTTP 요청을 통해 자신의 권한을 에스컬레이션하고 기본 파일 시스템의 임의 파일을 교체할 수 있습니다. ...

요약 FortiManager 및 FortiAnalyzer의 상대 경로 탐색[CVE-23] 취약점으로 인해 낮은 권한을 가진 원격 공격자가 조작된 HTTP 요청을 통해 승인되지 않은 코드를 실행할 수 있습니다. 버전체하는해결책 포티매니저 7.4 7.4.0 7.4.1 이...

요약 FortiManager 및 FortiAnalyzer의 서버 측 보안 [CWE-602] 취약점에 대한 클라이언트 측 시행으로 인해 낮은 권한을 가진 원격 공격자가 클라이언트 측 코드 실행을 통해 권한 있는 웹 콘솔에 액세스할 수 있습니다. 버전체하는해결책 포티매니저 ...

요약 FortiManager 및 FortiAnalyzer의 os 명령('OS 명령 주입') 취약성[CWE-78]에 사용된 특수 요소의 부적절한 무력화로 인해 낮은 권한을 가진 로컬 공격자가 CLI 명령에 대해 특별히 제작된 인수를 통해 승인되지 않은 코드를 실행...

요약 FortiOS 및 FortiProxy의 무료 취약성[CWE-416] 이후 사용으로 인해 인증되지 않은 원격 공격자가 SSL 심층 패킷 검사와 함께 프록시 모드를 사용하는 프록시 정책 또는 방화벽 정책에 도달하는 여러 조작된 패킷을 통해 웹 프록시 프로세스를 중단시킬 수 ...

요약 FortiOS SSL VPN 구성 요소의 민감한 쿼리 문자열 취약점[CWE-598]과 함께 GET 요청 방법을 사용하면 공격자가 GET 요청을 읽을 수 있는 경우 RDP 또는 VNC와 같은 원격 서비스의 일반 텍스트 비밀번호를 볼 수 있습니다. 해당 서비스(로그, 리퍼러...

요약 FortiManager 및 FortiAnalyzer의 사용자 제어 키 [CWE-639] 취약점을 통한 인증 우회로 인해 낮은 권한을 가진 원격 공격자가 조작된 HTTP 요청을 통해 민감한 정보를 읽을 수 있습니다. 버전체하는해결책 포티매니저 7.4 7.4.0 7...

요약 FortiOS REST API 구성 요소의 부적절한 액세스 제어 취약성[CWE-284]으로 인해 인증된 공격자가 신뢰할 수 없는 호스트의 제한된 리소스에 액세스할 수 있습니다. 영향을 받는 제품 FortiOS 버전 7.4.0 FortiOS 버전 7.2.0~7.2....

요약 FortiOS IPS 엔진의 해석 충돌 취약성[CWE-436]으로 인해 인증되지 않은 원격 공격자가 조작된 TCP 패킷을 통해 NGFW 정책 또는 IPS 엔진 보호를 회피할 수 있습니다. 영향을 받는 제품 IPS 엔진 버전 6.158 이하(FortiOS 6.4) ...

요약 FortiOS의 웹 페이지 취약점[CWE-80]에서 스크립트 관련 HTML 태그를 부적절하게 무력화하면 원격으로 인증된 공격자가 SAML 및 보안 패브릭 구성 요소를 통해 스크립트 관련 HTML 태그를 삽입할 수 있습니다. 버전체하는해결책 포티OS 7.4 영향을받...

요약 FortiManager, FortiAnalyzer 및 FortiADC 관리 인터페이스의 OS 명령('OS 명령 주입') 취약성[CWE-78]에 사용된 특수 요소의 부적절한 무력화로 인해 시스템 설정에 대해 최소한 읽기 권한이 있는 인증된 공격자가 시스템 설...

요약 FortiManager 관리 인터페이스의 부적절한 액세스 제어 취약성[CWE-284]으로 인해 자신의 프로필에 대해 최소한 "장치 관리" 권한이 있고 특정 ADOM에 속해 있는 인증된 원격 공격자가 다른 ADOM에서 CLI 스크립트를 추가 및 삭제할 수...