Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2023-01330: Уязвимость средства отслеживания и анализа событий безопасности FortiAnalyzer, связанная с отсутствием нейтрализации элементов для файлов CSV, позволяющая нарушителю выполнить произвольный код

Описание уязвимости	Уязвимость средства отслеживания и анализа событий безопасности FortiAnalyzer связана с отсутствием нейтрализации элементов в файле CSV. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код путем вставки формул электронной таблицы в имена макросов в файле CSV
Вендор	Fortinet Inc.
Наименование ПО	FortiAnalyzer
Версия ПО	7.2.0 от 6.4.0 до 6.4.11 включительно от 7.0.0 до 7.0.5 включительно 7.2.1
Тип ПО	ПО программно-аппаратных средств защиты
Операционные системы и аппаратные платформы	Данные уточняются
Тип ошибки	Неправильная нейтрализация элементов в файле CSV
Идентификатор типа ошибки	CWE-1236
Класс уязвимости	Уязвимость кода
Дата выявления	08.02.2023
Базовый вектор уязвимости	CVSS 2.0: AV:L/AC:H/Au:S/C:P/I:P/A:N CVSS 3.0: AV:L/AC:H/PR:H/UI:R/S:C/C:L/I:L/A:N
Уровень опасности уязвимости	Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 2,4) Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,7)
Возможные меры по устранению уязвимости	Использование рекомендаций: https://fortiguard.com/psirt/FG-IR-22-488
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Инъекция
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://vuldb.com/?id.222543 https://fortiguard.com/psirt/FG-IR-22-488
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2023-25611 FG-IR: FG-IR-22-488
Прочая информация	Данные уточняются

Последние изменения