Fortinet FortiWeb - CLI での OS コマンドインジェクション (FG-IR-22-186)
high Nessus プラグイン ID 174265
Language:
概要
Fortinet Firewall に、1 つ以上のセキュリティ関連の更新がありません。説明
リモートホストにインストールされている FortiWeb のバージョンは、テスト済みバージョンより前です。したがって、FG-IR-22-186 のアドバイザリに記載されている脆弱性の影響を受けます。- Fortinet FortiWeb バージョン 7.0.0 から 7.0.3、FortiADC バージョン 7.1.0 から 7.1.1、FortiADC バージョン 7.0.0 から 7.0.3、FortiADC 6.2 のすべてのバージョン、FortiADC 6.1 すべてのバージョン、FortiADC 6.0 のすべてのバージョン、FortiADC 5.4 のすべてのバージョン、FortiADC 5.3 のすべてのバージョン、FortiADC 5.2 のすべてのバージョン、FortiADC 5.1 のすべてのバージョンで、os コマンド (「os コマンドインジェクション」) で使用される特別な要素の不適切な無効化により、攻撃者は既存のコードに対して特別に細工された引数を介して、権限のないコードまたはコマンドを実行できます。
(CVE-2022-43948)
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
FortiWeb バージョン 7.2.0 以降にアップグレードしてください FortiWeb バージョン 7.0.4 以降にアップグレードしてください FortiADC バージョン 7.2.0 以降にアップグレードしてください FortiADC バージョン 7.1.2 以降にアップグレードしてください FortiADC バージョン 7.0.4 以降にアップグレードしてください参考資料
プラグインの詳細
深刻度: High
ID: 174265
ファイル名: fortiweb_FG-IR-22-186.nasl
バージョン: 1.1
タイプ: local
ファミリー: Firewalls
公開日: 2023/4/13
更新日: 2023/4/19
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Medium
基本値: 6.8
現状値: 5
ベクトル: CVSS2#AV:L/AC:L/Au:S/C:C/I:C/A:C
CVSS スコアのソース: CVE-2022-43948
CVSS v3
リスクファクター: High
基本値: 7.8
現状値: 6.8
ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:fortinet:fortiweb
必要な KB アイテム: Host/Fortigate/model, Host/Fortigate/version
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2023/4/11
脆弱性公開日: 2023/4/11
参照情報
CVE: CVE-2022-43948