CRITICAL🇬🇧 English

CVE-2024-23108

Command injection w Fortinet FortiSIEM — nieautoryzowane wykonanie kodu przez API

CVSS 10.0v3.1pub. 2024-02-05upd. 2026-01-14

Podatność typu OS command injection w Fortinet FortiSIEM umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń systemowych. Ocena CVSS 10.0 wskazuje na krytyczny poziom zagrożenia — atakujący nie wymaga żadnych uprawnień ani interakcji użytkownika.

Pokaż oryginał (EN)

An improper neutralization of special elements used in an os command ('os command injection') vulnerability in Fortinet allows attacker to execute unauthorized code or commands via via crafted API requests.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej neutralizacji znaków specjalnych w poleceniach systemu operacyjnego (CWE-78). Atakujący może przesłać specjalnie spreparowane żądania do API FortiSIEM, zawierające złośliwe dane wejściowe, które nie są odpowiednio filtrowane przed przekazaniem do powłoki systemowej. W efekcie wstrzyknięte polecenia są wykonywane z uprawnieniami procesu obsługującego API, bez konieczności uwierzytelnienia.

Skutki

Atakujący może zdalnie wykonać dowolny kod lub polecenia systemowe na serwerze FortiSIEM, co może prowadzić do pełnego przejęcia kontroli nad systemem, wycieku danych oraz naruszenia poufności, integralności i dostępności.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o wersjach zawierających poprawkę dostępne są w biuletynie bezpieczeństwa Fortinet pod adresem https://fortiguard.com/psirt/FG-IR-23-130

Kogo dotyczy

Fortinet FortiSIEM — wersje wskazane w referencjach producenta (szczegóły w biuletynie FG-IR-23-130 na fortiguard.com)

Uwagi

W referencjach figuruje publiczne repozytorium GitHub (horizon3ai/CVE-2024-23108), co sugeruje dostępność publicznego kodu proof-of-concept dla tej podatności.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Fortinet Fortisiem

    APP
    Fortinet
    7.1.07.1.16.6.0 – 6.6.36.4.0 – 6.4.27.0.0 – 7.0.26.7.0 – 6.7.86.5.0 – 6.5.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Command Injection
CWE
Referencje

Powiązane podatności

CVE-2025-64155CRITICAL9.8PL ✓ten sam produkt

Command injection w Fortinet FortiSIEM — RCE przez TCP

CVE-2025-25256CRITICAL9.8PL ✓ten sam produkt

Krytyczny pre-auth command injection w Fortinet FortiSIEM (RCE)

CVE-2023-40714CRITICAL9.9PL ✓ten sam produkt

Path Traversal w Fortinet FortiSIEM umożliwiający eskalację uprawnień

CVE-2024-23109CRITICAL10.0PL ✓ten sam produkt

Command Injection w Fortinet FortiSIEM umożliwiający zdalne wykonanie kodu

CVE-2023-36553CRITICAL9.8ten sam produkt

A improper neutralization of special elements used in an os command ('os command injection') in Fortinet Forti...