つみかさね

CVE-2026-24858

Critical(9.8)

CVE-2026-24858 — Fortinet 複数製品 認証バイパス(FortiCloud SSO)

公開日: 2026-06-10データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
FortiAnalyzerFortinet7.6.0–7.6.5 / 7.4.0–7.4.9 / 7.2.0–7.2.11 / 7.0.0–7.0.15
FortiManagerFortinet7.6.0–7.6.5 / 7.4.0–7.4.9 / 7.2.0–7.2.11 / 7.0.0–7.0.15
FortiOSFortinet7.6.0–7.6.5 / 7.4.0–7.4.10 / 7.2.0–7.2.12 / 7.0.0–7.0.18
FortiProxyFortinet7.6.0–7.6.4 / 7.4.0–7.4.12 / 7.2.0–7.2.15 / 7.0.0–7.0.22
FortiWebFortinet8.0.0–8.0.3 / 7.6.0–7.6.6 / 7.4.0–7.4.11

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1各製品のバージョンを確認し影響対象かどうか判断する
  2. 2FortiCloud SSOが有効になっているか確認する
  3. 3修正バージョンへアップデートする
  4. 4アップデートが困難な場合はFortiCloud SSOを無効化する
  5. 5不審なSSOログインがないかアクセスログを確認する

影響対象

FortiAnalyzer利用者FortiManager利用者FortiOS利用者FortiProxy利用者FortiWeb利用者

補足

  • -CISA KEV登録済みのため緊急対応が推奨されます
  • -CVE-2025-59718も関連する問題として合わせて対応してください
CVEFortinetFortiManagerFortiAnalyzerFortiOSFortiWeb認証バイパス

概要

Fortinet製品の広範囲にわたる認証バイパス脆弱性(CWE-288)です。FortiCloudアカウントを持つ攻撃者が、FortiCloud SSOが有効な他のユーザーのデバイスへ不正ログインできる可能性があります。

Fortinetは実際のSSO悪用に関する分析ブログを公開しており、CISAのKnown Exploited Vulnerabilities(KEV)カタログにも登録済みです。

CVSSベクトル

属性
Attack VectorNetwork
Attack ComplexityLow
Privileges RequiredNone
User InteractionNone
ScopeUnchanged
ConfidentialityHigh
IntegrityHigh
AvailabilityHigh
CVSSスコア9.8 (CRITICAL)

影響を受けるソフトウェア

製品影響バージョン
FortiAnalyzer7.6.0–7.6.5 / 7.4.0–7.4.9 / 7.2.0–7.2.11 / 7.0.0–7.0.15
FortiManager7.6.0–7.6.5 / 7.4.0–7.4.9 / 7.2.0–7.2.11 / 7.0.0–7.0.15
FortiNAC-F7.6.3–7.6.5
FortiOS7.6.0–7.6.5 / 7.4.0–7.4.10 / 7.2.0–7.2.12 / 7.0.0–7.0.18
FortiProxy7.6.0–7.6.4 / 7.4.0–7.4.12 / 7.2.0–7.2.15 / 7.0.0–7.0.22
FortiWeb8.0.0–8.0.3 / 7.6.0–7.6.6 / 7.4.0–7.4.11

FortiCloud SSOが有効になっているデバイスが攻撃対象となります。

修正バージョンと回避策

  • Fortiguardアドバイザリ(FG-IR-26-060)に記載の修正バージョンへアップデートする
  • FortiCloud SSOを無効化することで一時的に影響を回避できる
  • 不審なSSO経由のアクセスログを確認する

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2025-59718FortiOS / FortiProxy SAML認証バイパス(悪用観測済み)CVSS 9.8CVE-2025-59719FortiWeb SAML認証バイパスCVSS 9.8

参考リンク

Fortiguard:https://fortiguard.fortinet.com/psirt/FG-IR-26-060
CISA KEV:https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-24858
NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-24858
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。