技術関連情報

【CVE番号】
　CVE-2024-23112

【重要度】
　High

【対象機器／バージョン】
　FortiGate、FortiWIFI
　　ver.7.4.0 ～ 7.4.1
　　ver.7.2.0 ～ 7.2.6
　　ver.7.0.0 ～ 7.0.13
　　ver.6.4.0 ～ 6.4.14
　FortiProxy
　　ver.7.4.0 ～ 7.4.2
　　ver.7.2.0 ～ 7.2.8
　　ver.7.0.0 ～ 7.0.14

【影響】
　FortiOS および FortiProxy SSLVPN のユーザー制御キーの脆弱性による認証バイパスにより、認証された
　攻撃者が URL 操作を介して別のユーザーのブックマークにアクセスできる可能性があります。

【対策】
　以下のバージョンへのアップグレードを実施してください。
　FortiGate、FortiWIFI
　　ver.7.4.2 以降
　　ver.7.2.7 以降
　　ver.7.0.14 以降
　　ver.6.4.15 以降
　FortiProxy
　　ver.7.4.3 以降
　　ver.7.2.9 以降
　　ver.7.0.15 以降

　【ワークアラウンド】
　　SSL-VPNのWebモードを無効にします。

本内容は2024年3月13日9:00時点のものです。最新の情報は以下のリンク先にてご確認ください。

■FortiOS & FortiProxy – Authorization bypass in SSLVPN bookmarks
https://www.fortiguard.com/psirt/FG-IR-24-013