Fortinet пусна актуализации за стари уязвимости

Fortinet пусна актуализации за сигурност, за да отстрани 40 уязвимости в своята софтуерна гама, включително FortiWeb, FortiOS, FortiNAC и FortiProxy.

Две от 40-те уязвимости са оценени като критични, 15 са оценени като високи, 22 са оценени като средни, а една е оценена като ниска степен на сериозност.

Начело на списъка е сериозен бъг, намиращ се в решението за контрол на достъпа до мрежата FortiNAC (CVE-2022-39952, CVSS оценка: 9,8), който може да доведе до изпълнение на произволен код.

„Уязвимостта във външния контрол на името на файла или пътя [CWE-73] в уеб сървъра на FortiNAC може да позволи на неавтентифициран нападател да извърши произволен запис в системата“, заяви Fortinet в консултация по-рано тази седмица.

Продуктите, засегнати от уязвимостта, са следните.

  • FortiNAC версия 9.4.0
  • FortiNAC версия 9.2.0 до 9.2.5
  • FortiNAC версия 9.1.0 до 9.1.7
  • FortiNAC 8.8 – всички версии
  • FortiNAC 8.7 всички версии
  • FortiNAC 8.6 всички версии
  • FortiNAC 8.5 всички версии, и
  • FortiNAC 8.3 всички версии

Бяха пуснати пачове във версиите на FortiNAC 7.2.0, 9.1.8, 9.1.8 и 9.1.8. Фирмата за тестване за проникване Horizon3.ai заяви, че планира да пусне код за доказване на концепцията (PoC) за дефекта „скоро“, поради което е наложително потребителите да действат бързо, за да приложат актуализациите.

Вторият недостатък, който трябва да се отбележи, е набор от препълване на буфера, базирано на стека, в прокси дiмона на FortiWeb (CVE-2021-42756, CVSS оценка: 9,3), което може да позволи на неаутентифициран отдалечен атакуващ да постигне произволно изпълнение на код чрез специално подготвени HTTP заявки.

CVE-2021-42756 засяга следните версии на FortiWeb, като поправките са налични във версиите FortiWeb 6.0.8, 6.1.3, 6.2.7, 6.3.17 и 7.0.0 –

  • FortiWeb версии 6.4 всички версии
  • FortiWeb версии 6.3.16 и по-нови
  • FortiWeb версии 6.2.6 и по-нови
  • FortiWeb версии 6.1.2 и по-нови
  • FortiWeb версии 6.0.7 и по-нови, и
  • FortiWeb версии 5.x всички версии

И двата недостатъка са вътрешно открити и докладвани от екипа по сигурността на продуктите, съобщиха от Fortinet. Интересно е, че CVE-2021-42756 също изглежда е бил идентифициран през 2021 г., но не е бил публично оповестен досега.

 

Източник: The Hacker News

Подобни публикации

26 септември 2023

WatchGuard получи най-високото признание

WatchGuard е обявена за лидер в последния доклад на G2 Grid и е отл...
26 септември 2023

WatchGuard с награда за отлични постижения в об...

Имаме удоволствието да споделим, че WatchGuard е обявена за победит...
26 септември 2023

Рансъмуерът Akira мутира и се насочва към систе...

Откакто се появи като заплаха през март, рансъмуерът Arika продължи...
26 септември 2023

Разликите между локалната и облачната киберсигу...

Разликата между управлението на киберсигурността в локални и облачн...
26 септември 2023

Нов вариант на BBTok е насочен към над 40 банк...

Активна кампания за зловреден софтуер, насочена към Латинска Америк...
25 септември 2023

Правилата за API на TikTok затрудняват анализа ...

Според учени новите условия за достъп на изследователите до API на ...
25 септември 2023

Акаунтът на Буретин в X беше хакнат

Хакери компрометират акаунта на Виталик Буретин в X, като открадват...
Бъдете социални
Още по темата
21/09/2023

Разкрити критични недостатъ...

В софтуера за мрежово наблюдение Nagios...
15/09/2023

8 уязвимости в аналитичната...

Появиха се повече подробности за набор...
14/09/2023

Нови уязвимости в Kubernete...

Три взаимосвързани недостатъка в сигурността с...
Последно добавени
26/09/2023

WatchGuard получи най-висок...

WatchGuard е обявена за лидер в...
26/09/2023

WatchGuard с награда за отл...

Имаме удоволствието да споделим, че WatchGuard...
26/09/2023

Рансъмуерът Akira мутира и ...

Откакто се появи като заплаха през...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!