令和7年6月10日
お客様各位
株式会社ネットワークバリューコンポネンツ
JSON入力による二次的なOSコマンドインジェクション(VNC機能)[ FG-IR-26-141]
平素より弊社サービスをご利用いただき、誠にありがとうございます。
Fortinet より、複数フォーマット文字列の脆弱性[FG-IR-26-141]が公開されましたので、ご案内いたします。
■概要
FortiSandbox、FortiSandbox Cloud、および FortiSandbox PaaS の Web UI には、OSコマンドに含まれる特殊文字の
適切な無害化(サニタイズ)処理が不十分な問題(CWE-78)が存在します。この問題により、攻撃者が細工したHTTP
リクエストを送信した場合、本来は許可されていないOSコマンドが実行されてしまう可能性があります。
また、この攻撃は認証を必要としないため、ログインしていない外部の攻撃者にも悪用される可能性があります。
■対象製品と影響Versionおよび修正Version
対象製品 影響を受けるVersion 解決Version(=Ver.UP推奨先)
FortiSandbox 5.2 影響はありません 対策は不要です
FortiSandbox 5.0 5.0.0 ~ 5.0.5 5.0.6以降
FortiSandbox 4.4 4.4.0 ~ 4.4.8 4.4.9以降
FortiSandbox Cloud 5.2 影響はありません 対策は不要です
FortiSandbox Cloud 5.0 5.0.4 ~ 5.0.5 5.0.6以降
FortiSandbox Cloud 4.4 影響はありません 対策は不要です
FortiSandbox PaaS 23.4 影響はありません 対策は不要です
FortiSandbox PaaS 5.2 影響はありません 対策は不要です
FortiSandbox PaaS 5.0 5.0.4 ~ 5.0.5 5.0.6以降
FortiSandbox PaaS 4.4 影響はありません 対策は不要です
■回避策
対策済みのOSにVer.UPしてください。
■詳細情報
本件に関する詳細は、Fortinet社の公式発表をご確認ください。
[Fortinet PSIRT Advisory FG-IR-26-141] https://fortiguard.fortinet.com/psirt/FG-IR-26-141
■お問い合わせについて
ご不明点がございましたら、以下までお問い合わせください。
※有効な契約のあるシリアル番号をご記載ください。
NVCカスタマーサポート nvc-tac@nvc.co.jp (弊社営業日9:00~17:00)