CVE-2024-48884: podatność na przejście ścieżki w FortiManager i FortiProxy

Wykryto poważną podatność path traversal w Fortinet FortiManager i FortiProxy umożliwiającą zdalne modyfikacje plików. Sprawdź zalecenia bezpieczeństwa.
CVE-2024-48884CVSS 7.5Firewall

CVE-2024-48884: podatność na przejście ścieżki w FortiManager i FortiProxy

Wykryto poważną podatność path traversal w Fortinet FortiManager i FortiProxy umożliwiającą zdalne modyfikacje plików. Sprawdź zalecenia bezpieczeństwa.

CVSS
7.5 HIGH
EPSS
96.31%
Aktywnie wykorzystywana
brak w KEV
Produkt
fortimanager

Co wiadomo

W produktach Fortinet FortiManager i FortiProxy wykryto podatność typu 'path traversal', która pozwala zdalnemu atakującemu z uprawnieniami na interfejsie bezpieczeństwa na zapis dowolnych plików lub usunięcie folderów bez uwierzytelnienia. Dotyczy to wielu wersji oprogramowania FortiManager, FortiOS oraz FortiProxy.

Wpływ biznesowy

Podatność ta może prowadzić do nieautoryzowanej modyfikacji plików lub usunięcia danych na urządzeniach sieciowych, co zagraża integralności i dostępności infrastruktury IT. Atakujący mogą wykorzystać lukę do eskalacji uprawnień lub zakłócenia działania systemów zabezpieczeń, co wymaga szybkiej reakcji ze strony administratorów.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji bezpieczeństwa u producenta Fortinet oraz ich wdrożenie. W międzyczasie ogranicz dostęp do interfejsu security fabric tylko do zaufanych sieci i użytkowników, monitoruj logi systemowe pod kątem podejrzanej aktywności oraz przeprowadź audyt konfiguracji urządzeń. Priorytetowo traktuj zarządzanie podatnościami i minimalizuj ekspozycję urządzeń na zewnętrzne sieci.

Źródła

Alerty bezpieczeństwa

Dostawaj alerty CVE zanim staną się incydentem

Wysyłamy wybrane zagrożenia infrastrukturalne po polsku, z praktycznym komentarzem dla środowisk DataHouse.

  • DataHouse: administracja serwerów i bezpieczna chmura
  • Hostilla.pl: hosting i usługi pocztowe
  • SecDNS.pl: bezpłatna warstwa bezpieczeństwa DNS