Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2023-01331: Уязвимость технологии виртуализации Virtual Domains (VDOM) операционных систем FortiOS и прокси-сервера для защиты от интернет-атак FortiProxy, позволяющая нарушителю повысить свои привилегии

Описание уязвимости	Уязвимость технологии виртуализации Virtual Domains (VDOM) операционных систем FortiOS и прокси-сервера для защиты от интернет-атак FortiProxy связана с ошибками в обработке относительного пути к каталогу. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии путем отправки специально сформированных запросов GET, POST и HEAD
Вендор	Fortinet Inc.
Наименование ПО	FortiProxy, FortiOS
Версия ПО	от 1.2.0 до 1.2.13 включительно (FortiProxy) от 1.1.0 до 1.1.6 включительно (FortiProxy) 7.2.0 (FortiProxy) 7.2.1 (FortiProxy) от 7.0.0 до 7.0.7 включительно (FortiProxy) от 2.0.0 до 2.0.11 включительно (FortiProxy) от 6.2.0 до 6.2.12 включительно (FortiOS) от 6.4.0 до 6.4.11 включительно (FortiOS) от 7.0.0 до 7.0.8 включительно (FortiOS) от 7.2.0 до 7.2.3 включительно (FortiOS)
Тип ПО	Средство защиты, Программное средство защиты, Операционная система
Операционные системы и аппаратные платформы	Fortinet Inc. FortiOS от 6.2.0 до 6.2.12 включительно Fortinet Inc. FortiOS от 6.4.0 до 6.4.11 включительно Fortinet Inc. FortiOS от 7.0.0 до 7.0.8 включительно Fortinet Inc. FortiOS от 7.2.0 до 7.2.3 включительно
Тип ошибки	Неверное ограничение имени пути к каталогу с ограниченным доступом («Обход пути»), Обход относительного пути
Идентификатор типа ошибки	CWE-22 CWE-23
Класс уязвимости	Уязвимость кода
Дата выявления	07.10.2022
Базовый вектор уязвимости	CVSS 2.0: AV:L/AC:L/Au:M/C:C/I:C/A:C CVSS 3.0: AV:L/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,5) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,2)
Возможные меры по устранению уязвимости	Использование рекомендаций: https://www.fortiguard.com/psirt/FG-IR-22-401
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование ресурсами
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://www.fortiguard.com/psirt/FG-IR-22-401 https://vuldb.com/ru/?id.222499
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2022-42476 FG-IR: FG-IR-22-401
Прочая информация	Влияние на FortiProxy веток 7.0.x, 2.0.x, 1.2.x, 1.1.x незначительно, так как они не поддерживают технологию VDOM

Последние изменения