独立行政法人情報処理推進機構(IPA)は12月17日、Fortinet製品における認証回避の脆弱性について発表した。影響を受けるシステムは以下の通り。
FortiOS 7.6.0 から 7.6.3
FortiOS 7.4.0 から 7.4.8
FortiOS 7.2.0 から 7.2.11
FortiOS 7.0.0 から 7.0.17
FortiProxy 7.6.0 から 7.6.3
FortiProxy 7.4.0 から 7.4.10
FortiProxy 7.2.0 から 7.2.14
FortiProxy 7.0.0 から 7.0.21
FortiSwitchManager 7.2.0 から 7.2.6
FortiSwitchManager 7.0.0 から 7.0.5
FortiWeb 8.0.0
FortiWeb 7.6.0 から 7.6.4
FortiWeb 7.4.0 から 7.4.9
※FortiCloud SSOログイン機能が有効な場合、脆弱性の影響を受ける
Fortinet社が提供するFortiOS、FortiWeb、FortiProxy、FortiSwitchManager、FortiWebには、デジタル署名の不適切な検証の脆弱性(CVE-2025-59718、CVE-2025-59719)が存在し、認証されていない遠隔の第三者によって、認証を回避される可能性がある。
IPAでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。なお、開発者は、本脆弱性を修正した下記のバージョンをリリースしている。
FortiOS 7.6.4 およびそれ以降
FortiOS 7.4.9 およびそれ以降
FortiOS 7.2.12 およびそれ以降
FortiOS 7.0.18 およびそれ以降
FortiProxy 7.6.4 およびそれ以降
FortiProxy 7.4.11 およびそれ以降
FortiProxy 7.2.15 およびそれ以降
FortiProxy 7.0.22 およびそれ以降
FortiSwitchManager 7.2.7 およびそれ以降
FortiSwitchManager 7.0.6 およびそれ以降
FortiWeb 8.0.1 およびそれ以降
FortiWeb 7.6.5 およびそれ以降
FortiWeb 7.4.10 およびそれ以降
