CRITICAL🇬🇧 English

CVE-2024-23109

Command Injection w Fortinet FortiSIEM umożliwiający zdalne wykonanie kodu

CVSS 10.0v3.1pub. 2024-02-05upd. 2026-01-14

Podatność typu OS command injection w Fortinet FortiSIEM pozwala nieuwierzytelnionemu atakującemu na wykonanie dowolnych poleceń systemowych za pośrednictwem sieci. Ocena CVSS 10.0 wskazuje na maksymalne ryzyko — brak wymagań co do uprawnień czy interakcji użytkownika czyni tę podatność wyjątkowo niebezpieczną.

Pokaż oryginał (EN)

An improper neutralization of special elements used in an os command ('os command injection') vulnerability in Fortinet allows attacker to execute unauthorized code or commands via via crafted API requests.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej neutralizacji znaków specjalnych w danych przekazywanych do poleceń systemu operacyjnego (CWE-78). Atakujący może wysłać specjalnie spreparowane żądania API do podatnego systemu FortiSIEM, które zawierają złośliwe elementy interpretowane następnie jako polecenia systemowe. Brak wymogu uwierzytelnienia oraz sieciowy wektor ataku sprawiają, że exploit może być przeprowadzony przez dowolną osobę mającą dostęp do interfejsu API produktu.

Skutki

Atakujący może wykonać nieautoryzowany kod lub polecenia systemowe na serwerze, co w praktyce oznacza pełne przejęcie kontroli nad urządzeniem, możliwość naruszenia poufności i integralności danych oraz doprowadzenie do niedostępności usługi.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi przez Fortinet pod adresem https://fortiguard.com/psirt/FG-IR-23-130. Do czasu wdrożenia aktualizacji zaleca się ograniczenie dostępu do interfejsu API FortiSIEM wyłącznie do zaufanych adresów IP.

Kogo dotyczy

Fortinet FortiSIEM — wersje wskazane w referencjach producenta (https://fortiguard.com/psirt/FG-IR-23-130)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Fortinet Fortisiem

    APP
    Fortinet
    7.1.07.1.16.6.0 – 6.6.36.4.0 – 6.4.27.0.0 – 7.0.26.7.0 – 6.7.86.5.0 – 6.5.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Command Injection
CWE
Referencje

Powiązane podatności

CVE-2025-64155CRITICAL9.8PL ✓ten sam produkt

Command injection w Fortinet FortiSIEM — RCE przez TCP

CVE-2025-25256CRITICAL9.8PL ✓ten sam produkt

Krytyczny pre-auth command injection w Fortinet FortiSIEM (RCE)

CVE-2023-40714CRITICAL9.9PL ✓ten sam produkt

Path Traversal w Fortinet FortiSIEM umożliwiający eskalację uprawnień

CVE-2024-23108CRITICAL10.0PL ✓ten sam produkt

Command injection w Fortinet FortiSIEM — nieautoryzowane wykonanie kodu przez API

CVE-2023-36553CRITICAL9.8ten sam produkt

A improper neutralization of special elements used in an os command ('os command injection') in Fortinet Forti...