検出

fazsvcd での Fortinet FortiAnalyzer 書式文字列の脆弱性FG-IR-26-092

high Nessus プラグイン ID 301716

Language:

概要

Fortinet Firewall は、権限昇格の影響を受けます。

説明

リモートホストにインストールされている FortiAnalyzer のバージョンは、テスト済みバージョンよりも以前のものです。したがって、FG-IR-26-092のアドバイザリに記載されている脆弱性の影響を受けます。

 - Fortinet FortiAnalyzer 7.6.0 ] から 7.6.4、FortiAnalyzer 7.4.0 ] から 7.4.7、FortiAnalyzer 7.2 すべてのバージョン、FortiAnalyzer 7.0 のすべてのバージョン、FortiAnalyzer Cloud [] から 7.6.4、FortiAnalyzer Cloud 7.6.07.4.0 における外部コントロール書式文字列の使用の脆弱性。 、FortiAnalyzer Cloud 7.4.77.2 すべてのバージョン、FortiAnalyzer Cloud 7.0 すべてのバージョン、FortiManager 7.6.0 から 7.6.4、FortiManager 7.4.0 から 7.4.7、FortiManager 7.2 すべてのバージョン、FortiManager 7.0 すべてのバージョン、FortiManager Cloud 7.6.0 から 7.6.4、 FortiManager Cloud 7.4.0 から 7.4.7、FortiManager Cloud 7.2 すべてのバージョン、FortiManager Cloud 7.0 すべてのバージョンにより、攻撃者は特別に細工されたリクエストを介して権限を昇格できる場合があります。
 (CVE-2025-68648)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

7.0.x / 7.2.x については、ベンダーのアドバイザリを参照してください。7.4.x バージョンについては、FortiAnalyzer をバージョン 7.4.8 以降にアップグレードしてください。7.6.x バージョンについては、FortiAnalyzer をバージョン 7.6.5 以降にアップグレードしてください。

参考資料

https://www.fortiguard.com/psirt/FG-IR-26-092

プラグインの詳細

深刻度: High

ID: 301716

ファイル名: fortianalyzer_FG-IR-26-092.nasl

バージョン: 1.1

タイプ: local

ファミリー: Firewalls

公開日: 2026/3/10

更新日: 2026/3/10

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.4

CVSS v2

リスクファクター: High

基本値: 8.3

現状値: 6.1

ベクトル: CVSS2#AV:N/AC:L/Au:M/C:C/I:C/A:C

CVSS スコアのソース: CVE-2025-68648

CVSS v3

リスクファクター: High

基本値: 7.2

現状値: 6.3

ベクトル: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:fortinet:fortianalyzer

必要な KB アイテム: Host/Fortigate/model, Host/Fortigate/version

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2026/3/10

脆弱性公開日: 2026/3/10

参照情報

CVE: CVE-2025-68648