发布日期：2023-04-11
更新日期：2023-06-30

受影响系统：

Fortinet Fortinet FortiDeceptor >= 4.0.0
Fortinet Fortinet FortiDeceptor <= 4.0.2
Fortinet Fortinet FortiDeceptor < 3.3.3
Fortinet Fortinet FortiDeceptor 4.1.0
Fortinet Fortinet FortiSandbox >= 4.2.0
Fortinet Fortinet FortiSandbox >= 4.0.0
Fortinet Fortinet FortiSandbox <= 4.2.2
Fortinet Fortinet FortiSandbox <= 4.0.2
Fortinet Fortinet FortiSandbox < 3.2.3

描述：

---

CVE(CAN) ID: CVE-2022-27487

Fortinet FortiSandbox是美国飞塔（Fortinet）公司的一款APT（高级持续性威胁）防护设备，提供双重沙盒技术、动态威胁智能系统、实时控制面板和报告等功能。
Fortinet FortiSandbox 4.2.0至4.2.2版本、4.0.0至4.0.2版本、3.2.3之前版本、FortiDeceptor 4.1.0版本、4.0.0至4.0.2版本和3.3.3之前版本存在权限管理错误漏洞，经过身份认证的远程攻击者可利用该漏洞在未经授权的情况下通过特制的HTTP或HTTPS请求执行API调用。

<*链接：https://www.fortiguard.com/psirt/FG-IR-22-056
*>

建议：

---

厂商补丁：

Fortinet
--------
Fortinet已经为此发布了一个安全公告（FG-IR-22-056）以及相应补丁:
FG-IR-22-056：FortiSandbox / FortiDeceptor - Improper profile-based access control over APIs
链接：https://www.fortiguard.com/psirt/FG-IR-22-056

浏览次数：577
严重程度：0（网友投票）