[TLP:CLEAR] Fortinet opravuje 11 zraniteľností v rôznych produktoch
Fortinet opravuje 11 zraniteľností v rôznych produktoch. Najzávažnejšie zraniteľnosti sú uvedené nižšie. Jednotlivé produkty a ich opravené verzie: FortiOS - 7.6.7 [6][7][8][9][10][11] FortiPAM - 1.8.3 [6][7][8] FortiProxy - 7.4.14, 7.6.6 [6][7][8][9][10][11] FortiSIEMWindowsAgent - 7.4.2 [5] FortiSandbox (FSA-500G, FSA-1500G) - 4.4.9, 5.0.3 [4] FortiSIEM - 7.2.7, 7.3.5, 7.4.1 [3] FortiClientEMS - 7.4.6 [2] FortiAuthenticator - 6.5.8, 6.6.3 [1]
Neautentizovanému vzdialenému útočníkovi je v FortiAuthenticator umožnené získať prístup k citlivým informáciám zasielaním špeciálne vytvorených požiadaviek [1].
Zraniteľnosť sa nachádza v produkte FortiAuthenticator vo verziách (>=6.6.0 AND <6.6.3) OR (>=6.5 AND <6.5.7).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N/E:F/RL:O/RC:C
Viac informácií:
Neautentizovanému vzdialenému útočníkovi s validným API klúčom je v FortiClientEMS umožnené vydávať sa za AD Connector [2].
Zraniteľnosť sa nachádza v produkte FortiClientEMS vo verziách (>=7.2.0 AND <7.4.1) OR (>=7.4.3 AND <7.4.6).
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H/E:P/RL:O/RC:C
Viac informácií:
Autentizovanému vzdialenému útočníkovi s právami administrátora je v FortiSIEM umožnené vykonať XSS útok [3].
Zraniteľnosť sa nachádza v produkte FortiSIEM vo verziách (>=6.4.0 AND <7.2.7) OR (>=7.3.0 AND <7.3.5) OR (>=7.4.0 AND <7.4.1).
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:L/E:P/RL:O/RC:C
Viac informácií:
Neautentizovanému vzdialenému útočníkovi je v FortiSandbox umožnené získať prístup k VNC virtuálnych strojov, ktoré práve vykonávajú analýzu [4].
Zraniteľnosť sa nachádza v produkte FortiSandbox vo verziách (>=4.4.3 AND <4.4.9) OR (>=5.0.0 AND <5.0.3).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L/E:P/RL:O/RC:C
Viac informácií:
Neautentizovanému priľahlému útočníkovi je v FortiSIEMWindowsAgent umožnené vykonávať ľubovolný kód vydávajúc sa za stroj určený na dohľad (supervisor). Zraniteľnosť je zneužiteľná iba v prípade, že má Windows zariadenie povolenú funkcionalitu "Supers Override" [5].
Zraniteľnosť sa nachádza v produkte FortiSIEMWindowsAgent vo verziách >=4.2.0 AND <7.4.2.
CVSS: CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/E:P/RL:O/RC:C
Viac informácií:
Autentizovanému vzdialenému útočníkovi je v FortiOS, FortiPAM a FortiProxy umožnené vykonať reflected XSS útok. Zraniteľnosť je zneužitelná iba v prípade, že je povolená funkcionalita "Agentless SSL-VPN" [6].
Zraniteľnosť sa nachádza v produktoch:
- FortiOS vo verziách >=7.2.0 AND <7.6.7
- FortiPAM vo verziách >=1.0.0 AND <1.8.1
- FortiProxy vo verziách (>=7.2.0 AND <7.2.10) OR (>=7.4.0 AND <7.4.4)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N/E:P/RL:O/RC:C
Viac informácií:
Odkazy
- [1] https://fortiguard.fortinet.com/psirt/FG-IR-26-146
- [2] https://fortiguard.fortinet.com/psirt/FG-IR-26-147
- [3] https://fortiguard.fortinet.com/psirt/FG-IR-26-149
- [4] https://fortiguard.fortinet.com/psirt/FG-IR-26-145
- [5] https://fortiguard.fortinet.com/psirt/FG-IR-26-155
- [6] https://fortiguard.fortinet.com/psirt/FG-IR-26-150
- [7] https://fortiguard.fortinet.com/psirt/FG-IR-26-148
- [8] https://fortiguard.fortinet.com/psirt/FG-IR-26-151
- [9] https://fortiguard.fortinet.com/psirt/FG-IR-26-154
- [10] https://fortiguard.fortinet.com/psirt/FG-IR-26-152
- [11] https://fortiguard.fortinet.com/psirt/FG-IR-26-153
Za CESNET-CERTS Martin Krajči dňa 15. 7. 2026.