Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2023-00937: Уязвимость средства управления доступом к сети Fortinet FortiNAC, связанная с недостатками процедуры авторизации, позволяющая нарушителю выполнить произвольный код

Описание уязвимости	Уязвимость средства управления доступом к сети Fortinet FortiNAC связана с недостатками процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки специально сформированных POST-запросов по протоколу HTTP
Вендор	Fortinet Inc.
Наименование ПО	FortiNAC
Версия ПО	от 9.2.0 до 9.2.7 от 9.4.0 до 9.4.2 до 7.2.0
Тип ПО	ПО сетевого программно-аппаратного средства
Операционные системы и аппаратные платформы	Данные уточняются
Тип ошибки	Неправильная авторизация
Идентификатор типа ошибки	CWE-285
Класс уязвимости	Уязвимость кода
Дата выявления	15.02.2023
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости	Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: - использование средств межсетевого экранирования уровня веб-приложений; - применение систем обнаружения и предотвращения вторжений для ограничения возможности удаленного доступа с недоверенных хостов; - использование сторонних средств контроля доступа пользователей (VPN и др.) к программному продукту из общедоступных сетей (Интернет). Использование рекомендаций: https://www.fortiguard.com/psirt/FG-IR-22-329
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Нарушение авторизации
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://www.fortiguard.com/psirt/FG-IR-22-329
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-38375 FG-IR: FG-IR-22-329
Прочая информация	Данные уточняются

Последние изменения