Spoločnosť Fortinet oznámila opravy viacerých zraniteľností vo svojich produktoch zabezpečenia a správy siete, vrátane chýb kritickej závažnosti vedúcich k spusteniu kódu.
Prvou kritickou chybou je CVE-2023-42789, problém so zápisom mimo hraníc vo FortiOS a FortiProxy, ktorý by mohol útočníkom umožniť spúšťať kód alebo príkazy prostredníctvom vytvorených požiadaviek HTTP.
Tento problém, ktorý interne objavil tím zabezpečenia produktov spoločnosti Fortinet, bol riešený spolu s CVE-2023-42790, vysoko závažnou zraniteľnosťou pretečenia vyrovnávacej pamäte založenej na zásobníku, ktorá tiež vedie k spusteniu kódu.
Obidva problémy ovplyvňujú prihlasovací portál FortiOS a FortiProxy a boli vyriešené vydaním verzií FortiOS 7.4.2, 7.2.6, 7.0.13, 6.4.15 a 6.2.16 a verzie FortiProxy 7.4.1, 7.2.7, 7.0.13 a 2.0.14.
Druhou chybou kritickej závažnosti je CVE-2023-48788, problém s vkladaním SQL vo FortiClientEMS, ktorý umožňuje neovereným útočníkom vykonávať kód alebo príkazy prostredníctvom vytvorených požiadaviek.
Ďalšie informácie je možné nájsť na stránkach:
https://www.securityweek.com/fortinet-patches-critical-vulnerabilities-leading-to-code-execution