[TLP:CLEAR] Fortinet opravuje 5 zraniteľností v rôznych produktoch
Fortinet opravuje 5 zraniteľností v rôznych produktoch. Najzávažnejšie zraniteľnosti sú uvedené nižšie. Jednotlivé produkty a ich opravené verzie: FortiOS - 7.6.3, 7.4.8, 7.2.12 [1][3][5] FortiProxy - 7.6.2, 7.4.9 [1][3] FortiIsolator - 2.4.5 [2] FortiSandbox - 4.4.5, 4.2.7 [2] FortiAnalyzer - 7.6.2, 7.4.7 [4] FortiAnalyzer Cloud - 7.4.7 [4] FortiManager - 7.6.2, 7.4.7 [4] FortiManager Cloud - 7.4.7 [4]
Neautentizovanému vzdialenému útočníkovi je umožnené sa autentizovať pomocou API klúča a neplatného certifikátu [1].
Zraniteľnosť sa nachádza v produktoch:
- FortiOS vo verziách (>=7.0 AND <7.0.17) OR (>=7.2 AND <7.2.11) OR (>=7.4 AND <7.4.6) OR (>=7.6 AND <7.6.3)
- FortiProxy vo verziách (>=7.0 AND <7.0.21) OR (>=7.2 AND <7.2.14) OR (>=7.4 AND <7.4.9) OR (>=7.6 AND <7.6.2)
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H/E:P/RL:X/RC:C
Viac informácií:
- CVE-2024-52965 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-304: Missing Critical Step in Authentication at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 8. 7. 2025.
Neautentizovanému vzdialenému útočníkovi s cookie relácie admin účtu je umožnené tento účet využívať aj po jeho odstránení [2].
Zraniteľnosť sa nachádza v produktoch:
- FortiIsolator vo verziách (>= 1.2 AND <1.3) OR (>=2.0 AND <2.4.5)
- FortiSandbox vo verziách (>=3.2 AND <3.3) OR (>=4.0 AND <4:1) OR (>=4.2 AND <4.2.7) OR (>=4.4 AND <4.4.5)
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:L/E:P/RL:X/RC:C
Viac informácií:
- CVE-2024-27779 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-613: Insufficient Session Expiration at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 8. 7. 2025.
Neautentizovanému vzdialenému útočníkovi je umožnené obísť DNS filter. Na zneužitie zraniteľnosti je potrebné, aby obeť útoku pristupovala ku škodlivej doméne zo zariadenia od Apple [3].
Zraniteľnosť sa nachádza v produktoch:
- FortiProxy vo verziách (>=7.0 AND <7.1) OR (>=7.2 AND <7.3) OR (>=7.4 AND <7.4.9) OR (>=7.6 AND <7.6.2)
- FortiOS vo verziách (>=6.4 AND <6.5) OR (>=7.0 AND <7.1) OR (>=7.2 AND <7.2.11) OR (>=7.4.0 AND <7.4.8) OR (>=7.6 AND <7.6.1)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N/E:U/RL:X/RC:X
Viac informácií:
- CVE-2024-55599 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-358: Improperly Implemented Security Check for Standard at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 8. 7. 2025.
Autentizovanému vzdialenému útočníkovi je umožnené neoprávnene pristupovať k informáciám z databázy zasielaním špeciálne vytvorených požiadaviek [4].
Zraniteľnosť sa nachádza v produktoch:
- FortiAnalyzer vo verziách (>=6.4 AND <6.5) OR (>=7.0 AND <7.1) OR (>=7.2 AND <7.3) OR (>=7.4 AND <7.4.7) OR (>=7.6 AND <7.6.2)
- FortiAnalyzer Cloud vo verziách (>=6.4 AND <6.5) OR (>=7.0 AND <7.1) OR (>=7.2 AND <7.3) OR (>=7.4 AND <7.4.7)
- FortiManager vo verziách (>=6.4 AND <6.5) OR (>=7.0 AND <7.1) OR (>=7.2 AND <7.3) OR (>=7.4 AND <7.4.7) OR (>=7.6 AND <7.6.2)
- FortiManager Cloud vo verziách (>=6.4 AND <6.5) OR (>=7.0 AND <7.1) OR (>=7.2 AND <7.3) OR (>=7.4 AND <7.4.7)
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N/E:P/RL:X/RC:C
Viac informácií:
- CVE-2025-244474 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 8. 7. 2025.
Odkazy
Za CESNET-CERTS Martin Krajči dňa 9. 7. 2025.
