A Fortinet lançou patches para uma vulnerabilidade de cross-site scripting (XSS) de alta gravidade que afeta várias versões do FortiOS e FortiProxy. Rastreado como
CVE-2023-29183
, ela tem escore de 7.3no sistema de pontuação comum de vulnerabilidades (CVSS). A falha de segurança é descrita como uma “neutralização inadequada da entrada durante a geração de páginas da web.
A exploração bem-sucedida do bug, explica a Fortinet em um comunicado, pode permitir que um invasor autenticado use configurações de gerenciamento de convidado criadas para acionar a execução de código JavaScript mal-intencionado.
Identificada pela equipe de CSE da Fortinet, a falha afeta as versões 7.0.x e 7.2.x do FortiProxy e as versões 6.2.x, 6.4.x, 7.0.x e 7.2.x do FortiOS. A empresa de segurança cibernética lançou as versões 7.0.11 e 7.2.5 do FortiProxy e as versões 6.2.15, 6.4.13, 7.0.12, 7.2.5 e 7.4.0 do FortiProxy para resolver esse problema. Ela também lançou patches para um problema de alta gravidade em seu firewall de aplicativo web e solução de proteção de API FortiWeb.
Rastreado como
CVE-2023-34984
(pontuação CVSS de 7.1), o problema pode permitir que um invasor ignore as proteções existentes de XSS e falsificação de solicitação entre sites (CSRF), explica a empresa. De acordo com a Fortinet, o bug afeta as versões 6.3, 6.4, 7.0.x e 7.2.x do FortiWeb, e foi resolvido com o lançamento das versões 7.0.7 e 7.2.2 do FortiWeb.
Os usuários da Fortinet são aconselhados a atualizar seus firewalls e switches o mais rápido possível. Embora a empresa não mencione nenhuma dessas vulnerabilidades sendo exploradas em ataques, falhas nos appliances Fortinet têm sido alvo de ataques para obter acesso a redes corporativas.
A Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA alerta que a exploração desses bugs pode levar ao comprometimento total do sistema e aconselha os administradores a revisar os avisos da Fortinet e aplicar as atualizações necessárias. “Um operador de ameaça pode explorar uma dessas vulnerabilidades para assumir o controle de um sistema afetado”, observa a CISA.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...