Fortinet исправляет критические ошибки в FortiOS, FortiProxy и FortiClientEMS.

Fortinet выпустила обновления безопасности, чтобы исправить критические уязвимости выполнения кода в FortiOS, FortiProxy и FortiClientEMS. В этой неделе Fortinet выпустила обновления безопасности, чтобы исправить критические уязвимости выполнения кода в FortiOS, FortiProxy и FortiClientEMS.

Первая уязвимость

Это проблема записи за пределы массива, отслеживается как CVE-2023-42789 (CVSS-оценка 9.3), она может быть использована для выполнения неавторизованного кода или команды путем отправки специально созданных HTTP-запросов на уязвимые устройства. Уязвимость влияет на Fortinet FortiOS 7.4.0 - 7.4.1, 7.2.0 - 7.2.5, 7.0.0 - 7.0.12, 6.4.0 - 6.4.14, 6.2.0 - 6.2.15, FortiProxy 7.4.0, 7.2.0 - 7.2.6, 7.0.0 - 7.0.12, 2.0.0 - 2.0.13.

Производитель также исправил уязвимость переполнения буфера

Эта уязвимость отслеживается как CVE-2023-42790 (CVSS-оценка 8.1).

Обе уязвимости обнаружены Gwendal Guégniaud из команды по безопасности продуктов Fortinet.

Производитель также устранил критическую распространенную проблему инъекции SQL, отслеживаемую как CVE-2023-48788 (CVSS-оценка 9.3), в компоненте DAS. "Неправильное нейтрализация специальных элементов, используемых в SQL-команде (уязвимость 'SQL-инъекции') [CWE-89] в FortiClientEMS может позволить неавторизованному злоумышленнику выполнить неавторизованный код или команду с помощью специально созданных запросов", - гласит справка.

Внизу приведены затронутые версии и выпущенные обновления для устранения этой проблемы.

• Версия: FortiClientEMS 7.27.2.0 - 7.2.2
• Решение: Обновить до версии 7.2.3 или выше
• Версия: FortiClientEMS 7.07.0.1 - 7.0.10
• Решение: Обновить до версии 7.0.11 или выше

Проблема была сообщена Тьяго Сантана из команды разработки ForticlientEMS и UK NCSC. Fortinet не обнаружила эксплуатации этих уязвимостей в дикой природе.

Make me an answer in this format: ' {text}'