Fortinet FortiOS の機密情報の漏洩 (FG-IR-21-231)

medium Nessus プラグイン ID 161606

概要

リモートホストは、機密情報の脆弱性による影響を受けます。

説明

Fortinet FortiOS バージョン 6.0 より前、6.2 から 6.2.10、6.4 から 6.4.9 および 7.0 から 7.0.3 では、同一オリジンの HTTP を介して、悪意のあるウェブサーバーが Web プロキシのクライアント名と IP を取得することが可能であり、プロキシ生成の HTTP ステータスコードページをトリガーします。

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

ソリューション

ベンダーのアドバイザリを参照してください。

関連情報

https://www.fortiguard.com/psirt/FG-IR-21-231

プラグインの詳細

深刻度: Medium

ID: 161606

ファイル名: fortios_FG-IR-21-231.nasl

バージョン: 1.2

タイプ: local

ファミリー: Firewalls

公開日: 2022/5/27

更新日: 2022/5/30

リスク情報

VPR

リスクファクター: Low

スコア: 1.4

CVSS v2

リスクファクター: Medium

Base Score: 4.3

Temporal Score: 3.2

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N

現状ベクトル: CVSS2#E:U/RL:OF/RC:C

CVSS スコアのソース: CVE-2021-43206

CVSS v3

リスクファクター: Medium

Base Score: 4.3

Temporal Score: 3.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:2.3:o:fortinet:fortios:*:*:*:*:*:*:*:*

必要な KB アイテム: Host/Fortigate/version

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2022/5/3

脆弱性公開日: 2022/5/3

参照情報

CVE: CVE-2021-43206

IAVA: 2022-A-0221