Fortinet FortiMail 7.0.x < 7.0.9 / 7.2.x < 7.2.8 / 7.4.x < 7.4.5 / 7.6.x < 7.6.3 API スタックベースのバッファオーバーフロー (FG-IR-25-254)
critical Nessus プラグイン ID 236971
Language:
概要
Fortinet FortiMail に、1 つ以上のセキュリティ関連の更新がありません。説明
リモートホストにインストールされている Fortigate FortiMail のバージョンは、7.0.9 より前の 7.0.x、7.2.8 より前の 7.2.x、7.4.5 より前の 7.4.x、7.6.3 より前の 7.6.x です。したがって、FG-IR-25-254 のアドバイザリに記載されている API スタックベースのバッファ オーバーフローの脆弱性の影響を受けます。- Fortinet FortiVoice バージョン 7.2.0、7.0.0 から 7.0.6、6.4.0 から 6.4.10、FortiRecorder バージョン 7.2.0 から 7.2.3、7.0.0 から 7.0.5、6.4.0 から 6.4.5、FortiMail バージョン 7.6.0 から 7.6.2、7.4.0 から 7.4.4、7.2.0 から 7.2.7、7.0.0 から 7.0.8、FortiNDR バージョン 7.6.0、7.4.0 から 7.4.7、7.2.0 から 7.2.4、7.0.0 から 7.0.6、FortiCamera バージョン 2.1.0 から 2.1.3、2.0 のすべてのバージョン、1.1 のすべてのバージョンのスタックベースのバッファオーバーフローの脆弱性 [CWE-121] により、認証されていないリモートの攻撃者が、特別に細工したハッシュ Cookie を含む HTTP リクエストを送信することで、任意のコードやコマンドを実行できる可能性があります。(CVE-2025-32756)
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
Fortigate FortiMail バージョン 7.0.9、7.2.8、7.4.5、または 7.6.3 以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: Critical
ID: 236971
ファイル名: fortigate_fortimail_FG-IR-25-254.nasl
バージョン: 1.2
タイプ: local
ファミリー: Firewalls
公開日: 2025/5/20
更新日: 2025/5/21
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Critical
スコア: 9.4
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 8.3
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2025-32756
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 9.1
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:F/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:fortinet:fortimail
必要な KB アイテム: Host/Fortigate/model, Host/Fortigate/version
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2025/5/13
脆弱性公開日: 2025/5/13
CISA の既知の悪用された脆弱性の期限日: 2025/6/4
参照情報
CVE: CVE-2025-32756