MĂșltiples vulnerabilidades en productos Fortinet

Fecha de publicaciĂłn: 17/02/2023

Importancia:
CrĂ­tica

Recursos afectados:

  • Versiones de FortiNAC:
    • 9.4.0;
    • desde 9.2.0 hasta 9.2.5;
    • desde 9.1.0 hasta 9.1.7;
    • todas las versiones de 8.8;
    • todas las versiones de 8.7:
    • todas las versiones de 8.6;
    • todas las versiones de 8.5;
    • todas las versiones de 8.3.
  • Versiones de FortiWeb:
    • todas las versiones de 5.x;
    • 6.0.7 y anteriores;
    • 6.1.2 y anteriores;
    • 6.2.6 y anteriores;
    • 6.3.16 y anteriores;
    • todas las versiones de 6.4.

DescripciĂłn:

Gwendal Guégniaud y Giuseppe Cocomazzi, investigadores del equipo Fortinet Product Security, han reportado 2 vulnerabilidades críticas, cuya explotación podría permitir la ejecución de código o comandos no autorizados.

SoluciĂłn:

Actualizar los productos afectados a las siguientes versiones o superiores:

  • FortiNAC:
    • 9.4.1;
    • 9.2.6;
    • 9.1.8;
    • 7.2.0.
  • FortiWeb:
    • 7.0.0;
    • 6.3.17;
    • 6.2.7;
    • 6.1.3;
    • 6.0.8.

Detalle:

  • Una vulnerabilidad de modificaciĂłn en los nombres de archivo o rutas en el servidor web de FortiNAC podrĂ­a permitir a un atacante, no autenticado, realizar escrituras arbitrarias en el sistema. Se ha asignado el identificador CVE-2022-39952 a esta vulnerabilidad.
  • El proxy daemon de FortiWeb es vulnerable al desbordamiento de bĂșfer basado en la pila (stack), lo que podrĂ­a permitir a un atacante remoto, no autenticado, ejecutar cĂłdigo arbitrario a travĂ©s de solicitudes HTTP especĂ­ficamente diseñadas. Se ha asignado el identificador CVE-2021-42756 a esta vulnerabilidad.

Adicionalmente, el fabricante ha publicado mĂĄs avisos de seguridad no crĂ­ticos que pueden consultarse en su pĂĄgina web.

Encuesta valoraciĂłn

Etiquetas:
ActualizaciĂłn, Comunicaciones, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.