Fortinet пусна актуализации за стари уязвимости

Picture of e-security.bg
e-security.bg
Aрхив | Уязвимости
20 февруари 2023

Fortinet пусна актуализации за сигурност, за да отстрани 40 уязвимости в своята софтуерна гама, включително FortiWeb, FortiOS, FortiNAC и FortiProxy.

Две от 40-те уязвимости са оценени като критични, 15 са оценени като високи, 22 са оценени като средни, а една е оценена като ниска степен на сериозност.

Начело на списъка е сериозен бъг, намиращ се в решението за контрол на достъпа до мрежата FortiNAC (CVE-2022-39952, CVSS оценка: 9,8), който може да доведе до изпълнение на произволен код.

„Уязвимостта във външния контрол на името на файла или пътя [CWE-73] в уеб сървъра на FortiNAC може да позволи на неавтентифициран нападател да извърши произволен запис в системата“, заяви Fortinet в консултация по-рано тази седмица.

Продуктите, засегнати от уязвимостта, са следните.

  • FortiNAC версия 9.4.0
  • FortiNAC версия 9.2.0 до 9.2.5
  • FortiNAC версия 9.1.0 до 9.1.7
  • FortiNAC 8.8 – всички версии
  • FortiNAC 8.7 всички версии
  • FortiNAC 8.6 всички версии
  • FortiNAC 8.5 всички версии, и
  • FortiNAC 8.3 всички версии

Бяха пуснати пачове във версиите на FortiNAC 7.2.0, 9.1.8, 9.1.8 и 9.1.8. Фирмата за тестване за проникване Horizon3.ai заяви, че планира да пусне код за доказване на концепцията (PoC) за дефекта „скоро“, поради което е наложително потребителите да действат бързо, за да приложат актуализациите.

Вторият недостатък, който трябва да се отбележи, е набор от препълване на буфера, базирано на стека, в прокси дiмона на FortiWeb (CVE-2021-42756, CVSS оценка: 9,3), което може да позволи на неаутентифициран отдалечен атакуващ да постигне произволно изпълнение на код чрез специално подготвени HTTP заявки.

CVE-2021-42756 засяга следните версии на FortiWeb, като поправките са налични във версиите FortiWeb 6.0.8, 6.1.3, 6.2.7, 6.3.17 и 7.0.0 –

  • FortiWeb версии 6.4 всички версии
  • FortiWeb версии 6.3.16 и по-нови
  • FortiWeb версии 6.2.6 и по-нови
  • FortiWeb версии 6.1.2 и по-нови
  • FortiWeb версии 6.0.7 и по-нови, и
  • FortiWeb версии 5.x всички версии

И двата недостатъка са вътрешно открити и докладвани от екипа по сигурността на продуктите, съобщиха от Fortinet. Интересно е, че CVE-2021-42756 също изглежда е бил идентифициран през 2021 г., но не е бил публично оповестен досега.

 

#бъгове, # мрежова сигурност
The Hacker News

Подобни

Три критични уязвимости в runc застрашават изолацията на контейнери
11.11.2025
Stop - Ransomware - neon colors1
Критична уязвимост в Monsta FTP
11.11.2025
cybersecurity1
Уязвимости в Claude позволяват на злонамерени сайтове да стартират малуер
7.11.2025
claude anthropic
Проблем с актуализация на Windows може да задейства BitLocker Recovery режим
6.11.2025
windows-6281710_1280
CVE-2025-9491 в Windows се ползва за атаки срещу дипломати
4.11.2025
Windows-10
Критична уязвимост в Chromium браузърите
31.10.2025
browser-773215_1280

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Kак да разпознаем и реагираме на фишинг имейл
9.10.2025
phishing-6573326_1280
Опасен фишинг под прикритието на Ямболския окръжен съд
5.11.2025
phishing
Кибер въоръжаване и ИИ: Новите предизвикателства на бойното поле
4.10.2025
military-8431995_1280

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.