概要
Fortinet の エンドポイント 管理 ソリューション FortiClientEMS 7.4.4 に、認証 なし で 悪用 可能 な SQL インジェクション 脆弱性 が 存在 します。攻撃者 は 特別 に 細工 した HTTP リクエスト を 送信 する こと で、認証 を 経ず に 任意 の SQL コマンド を 実行 でき、最終的 に リモート コード 実行 に 至る 可能性 が あります。
FortiClientEMS は 企業 環境 で FortiClient エンドポイント エージェント を 一元 管理 する ため の 製品 で あり、影響 範囲 は 大きい です。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 9.8(Critical) |
| 攻撃 元 区分 | ネットワーク |
| 攻撃 条件 の 複雑 さ | 低 |
| 必要 な 特権 レベル | 不要 |
| ユーザー 関与 | 不要 |
| CWE | CWE-89(SQL インジェクション) |
影響 を 受ける ソフトウェア
| 製品 | 影響 バージョン | 修正 バージョン |
|---|---|---|
| FortiClientEMS | 7.4.4 | FortiGuard Advisory 参照 |
修正 バージョン と 回避策
- FortiGuard の セキュリティ アドバイザリ(FG-IR-25-1142)に 記載 された 修正 バージョン へ の アップデート を 推奨
- アップデート まで の 間 は、FortiClientEMS の 管理 インターフェース へ の ネットワーク アクセス を 制限 する こと を 推奨
関連 リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。