FortiWLM からパストラバーサル脆弱性が発見

セキュリティメディア「Bleeping Computer」によると、Foirtinetの無線管理ツールである FortiWLM でCVE-2023-34990と追跡された脆弱性が発見されたそうです。 FortiWLM は政府、医療現場、教育機関などで使用される主な管理ツールです。この欠陥は、攻撃者が特定のウェブリクエストを通じてディレクトリ探索手法で管理者セッションのIDを含めたログファイルを読めるようにし、それを悪用して権限を奪取することができます。

Horizon3の研究員であるジャック・ヘンリ氏は、2023年5月にその欠陥について報告しましたが、10ヶ月が過ぎてもパッチは行わなかったです。 FortiWLM のユーザーは2024年3月、研究者が情報やPOCを公開してから初めてこの問題を知るようになり、その後９ヶ月が過ぎた時点でセキュリティパッチが発表されたのです。

FortiWLM の脆弱性は、ネットワーク全般の障害ならびに敏感なデータの漏洩を招きかねないので深刻だと言えます。Bleeping Computerは、「Fortinetは、2023年9月に発表された FortiWLM の8.6.6および8.5.5バージョンで脆弱性を修正しており、ユーザーはできる限り全てのアップデートをすぐ適用した方がいい」と加えました。