PT-2024-7217 · Fortinet · Fortimanager Cloud+2
Publicado
2024-10-23
·
Atualizado
2026-06-17
·
CVE-2024-47575
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do FortiManager 6.2.0 a 6.2.12
Versões do FortiManager 6.4.0 a 6.4.14
Versões do FortiManager 7.0.0 a 7.0.12
Versões do FortiManager 7.2.0 a 7.2.7
Versões do FortiManager 7.4.0 a 7.4.4
Versão 7.6.0 do FortiManager
Versões do FortiManager Cloud 6.4.1 a 6.4.7
Versões do FortiManager Cloud 7.0.1 a 7.0.12
Versões do FortiManager Cloud 7.2.1 a 7.2.7
Versões do FortiManager Cloud 7.4.1 a 7.4.4
Descrição
A vulnerabilidade está relacionada à falta de autenticação para uma função crítica no FortiManager, permitindo que invasores remotos e não autenticados executem código ou comandos arbitrários por meio de solicitações especialmente criadas. Esse problema tem sido ativamente explorado na prática, com mais de 15.000 dispositivos FortiGate supostamente comprometidos, resultando no roubo de endereços IP e credenciais. A vulnerabilidade afeta várias versões do FortiManager e do FortiManager Cloud, e recomenda-se atualizar para a versão mais recente para mitigar o risco.
Recomendações
Para as versões 6.2.0 a 6.2.12 do FortiManager, atualize para uma versão fora desse intervalo.
Para as versões 6.4.0 a 6.4.14 do FortiManager, atualize para uma versão fora desse intervalo.
Para as versões 7.0.0 a 7.0.12 do FortiManager, atualize para uma versão fora desse intervalo.
Para as versões 7.2.0 a 7.2.7 do FortiManager, atualize para uma versão fora desse intervalo.
Para as versões 7.4.0 a 7.4.4 do FortiManager, atualize para uma versão fora desse
Exploit
Correção
RCE
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fortigate
Fortimanager
Fortimanager Cloud