ГлавнаяБаза уязвимостей БДУ → BDU:2024-04368
9высокая

BDU:2024-04368

Уязвимость компонента HTTP Request Handler межсетевого экрана веб-приложений FortiWeb, позволяющая нарушителю повысить свои привилегии
Опубликовано: 2024-06-05
Описание

Уязвимость компонента HTTP Request Handler межсетевого экрана веб-приложений FortiWeb связана с недостатками процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии

Затрагиваемое ПО и версии
Fortiweb Manager (от 7.0.0 до 7.0.4 включительно)Fortiweb Manager (от 6.2.3 до 6.2.4 включительно)Fortiweb Manager (до 6.3.1)Fortiweb Manager (до 7.2.1)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- сегментирование сети для ограничения возможности удалённого доступа;
- использование SIEM систем для ограничения возможности эксплуатации уязвимости;
- ограничение доступа из внешних сетей (Интернет).

Использование рекомендаций производителя:
https://www.fortiguard.com/psirt/FG-IR-23-222

Оценка CVSS
Балл9 — высокая опасность
Источники и патчи
https://www.fortiguard.com/psirt/FG-IR-23-222
Проверьте безопасность своего сайта и почты → Полная проверка домена