BDU:2022-07166: Уязвимость антивирусного сканера Fortinet antivirus (AV) операционных систем FortiOS и системы защиты электронной почты FortiMail, позволяющая нарушителю обойти ограничения безопасности

Описание уязвимости Уязвимость антивирусного сканера Fortinet antivirus (AV) операционных систем FortiOS и системы защиты электронной почты FortiMail связана с недостаточной проверкой подлинности данных. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, обойти ограничения безопасности с помощью содержимого MIME со стандартом кодирования base64
Вендор Fortinet Inc.
Наименование ПО FortiOS, FortiMail, Fortinet antivirus (AV) engine
Версия ПО от 7.2.0 до 7.2.2 (FortiOS), до 7.0.8 (FortiOS), от 7.0.0 до 7.0.3 (FortiMail), до 6.4.7 (FortiMail), до 6.00274 включительно (Fortinet antivirus (AV) engine)
Тип ПО Операционная система, Программное средство защиты, Средство защиты
Операционные системы и аппаратные платформы
  • Fortinet Inc. FortiOS от 7.2.0 до 7.2.2 Не указана
  • Fortinet Inc. FortiOS до 7.0.8 Не указана
Тип ошибки Недостаточная проверка подлинности данных
Идентификатор типа ошибки CWE-345
Класс уязвимости Уязвимость архитектуры
Дата выявления 01.11.2022
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:L/Au:S/C:N/I:P/A:N
  • CVSS 3.0: AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,7)
Возможные меры по устранению уязвимости
Использование рекомендаций:
https://www.fortiguard.com/psirt/FG-IR-22-074
Результаты тестирования обновлений:
  • Прошивка FortiNet FortiGate FG-60E-LENC FGT_60E-v7.0.8.F-build0418-FORTINET
  • Статус уязвимости Подтверждена производителем
    Наличие эксплойта Данные уточняются
    Способ эксплуатации
    • Подмена при взаимодействии
    Способ устранения Обновление программного обеспечения
    Информация об устранении Уязвимость устранена
    Ссылки на источники
    Идентификаторы других систем описаний уязвимостей
    Прочая информация Данные уточняются