[TLP:CLEAR] Fortinet opravuje 3 zraniteľnosti

Fortinet opravuje 3 zraniteľnosti v produktoch FortiNAC, FortiManager, FortiAnalyzer, FortiAnalyzer-BigData a FortiClientEMS. Postihnuté produkty a ich opravené verzie: FortiNAC - 9.4.4, 7.2.3 FortiAnalyzer - 7.4.2, 7.2.4 FortiAnalyzer-BigData - 7.2.6 FortiManager - 7.4.2, 7.2.4 FortiClientEMS - 7.2.3, 7.0.11

FortiClientEMS - improper privilege mngmnt (CVE-2023-45581) CVSS 7.9 (High)

Neautentizovanému vzdialenému útočníkovi je umožnené vykonať stored XSS útok [1].

Zraniteľnosť sa nachádza v produkte FortiClientEMS vo verziách (==0) OR (<7.2.3 AND >=7.2.0) OR (<7.0.11 AND >=7.0.0 AND !=7.0.5).

Viac informácií:

Zraniteľnosť bola verejne oznámená 8. 2. 2024.

FortiNAC - XSS (CVE-2023-26206) CVSS 8.8 (High)

Autentizovanému vzdialenému útočníkovi s právami administrátora stránky je umožnené vykonávať operácie s právami globálneho administrátora [2].

Zraniteľnosť sa nachádza v produkte FortiNAC vo verziách (==0) OR (<7.2.2 AND >=7.2.0) OR (<8.4.0 AND >=8.3.0) OR (<8.9.0 AND >=8.5.0) OR (<9.3.0 AND >=9.1.0) OR (<9.4.3 AND >=9.4.0).

Viac informácií:

Zraniteľnosť bola verejne oznámená 13. 2. 2024.

Forti* - information exposure (CVE-2023-44253) CVSS 4.7 (Medium)

Autentizovanému vzdialenému útočníkovi s právami doménového administrátora je umožnené neoprávnene získať citlivé informácie [3].

Zraniteľnosť sa nachádza v produktoch:

  • FortiAnalyzer vo verziách (==0) OR (<7.4.2 AND >=7.4.0) OR (<7.2.4 AND >=7.2.0) OR (<7.1.0 AND >=7.0.0) OR (<6.5.0 AND >=6.4.0) OR (<6.3.0 AND >=6.2.0)
  • FortiAnalyzer-BigData vo verziách (==0) OR (<7.2.6 AND >=7.2.0) OR (<7.1.0 AND >=7.0.0) OR (<6.5.0 AND >=6.4.0) OR (<6.3.0 AND >=6.2.0)
  • FortiManager vo verziách (==0) OR (<7.4.2 AND >=7.4.0) OR (<7.2.4 AND >=7.2.0) OR (<7.1.0 AND >=7.0.0) OR (<6.5.0 AND >=6.4.0) OR (<6.3.0 AND >=6.2.0)

Viac informácií:

Zraniteľnosť bola verejne oznámená 8. 2. 2024.

Publikoval Martin Krajči dňa 27. 2. 2024.

CESNET CERTS Logo