개요
Forinet 에서 발생하는 취약점을 해결하는 업데이트가 제공되었습니다. 해당하는 버전 사용자는 최신 버전으로 업데이트하시기 바랍니다.
대상 제품
CVE-2023-48788
- FortiClientEMS 7.2.0~7.2.2 버전
- FortiClientEMS 7.0.1~7.0.10 버전
CVE-2023-47534
- FortiClientEMS 7.2.0~7.2.2 버전
- FortiClientEMS 6.4 모든 버전
- FortiClientEMS 6.2 모든 버전
- FortiClientEMS 6.0 모든 버전
CVE-2023-36554
- FortiManager 7.4.0 버전
- FortiManager 7.2.0~7.2.3 버전
- FortiManager 7.0.0~7.0.10 버전
- FortiManager 6.4.0~6.4.13 버전
- FortiManager 6.2 모든 버전
해결된 취약점
FortiClientEMS에서 인증되지 않은 코드 및 명령 실행 가능한 SQL Injection 취약점(CVE-2023-48788) [1]
FortiClientEMS에서 CSV 파일 삽입으로 인한 임의 명령 실행 취약점(CVE-2023-47534) [2]
FortiManager용 FortiWLM MEA에서 인증되지 않은 코드 및 명령 실행 가능한 부적절한 접근 제어 취약점(CVE-2023-36554) [3]
취약점 패치
CVE-2023-48788, CVE-2023-47534
- FortiClientEMS 7.2.3 이상의 버전
- FortiClientEMS 7.0.11부터 7.2.0 미만의 버전
CVE-2023-36554
- FortiManager 7.4.1 이상의 버전
- FortiManager 7.2.4부터 7.4.0 미만의 버전
- FortiManager 7.0.11부터 7.2.0 미만의 버전
- FortiManager 6.4.14부터 7.0.0 미만의 버전
참고 사이트
[1] Pervasive SQL injection in DAS component
https://www.fortiguard.com/psirt/FG-IR-24-007
[2] FortiClientEMS – CSV injection in log download feature
https://www.fortiguard.com/psirt/FG-IR-23-390
[3] FortiWLM MEA for FortiManager – improper access control in backup and restore features
https://www.fortiguard.com/psirt/FG-IR-23-103