Múltiples vulnerabilidades en productos Fortinet

17/07/2024 Noticias 0

Se han reportado múltiples vulnerabilidades en los productos de Fortinet, , 1 de severidad alta,  1 de severidad media y 1 de severidad baja, que podrían permitir ejecutar scripts entre sitios, eludir restricciones de seguridad, divulgar información confidencial y manipular datos en el sistema afectado.


 Productos afectados:

  • FortiOS versiones 7.4.0 a 7.4.3
  • FortiOS versiones 7.2.0 a 7.2.7
  • FortiOS versiones 7.0.0 a 7.0.13
  • FortiOS todas las versiones 6.4
  • FortiProxy versiones 7.4.0 a 7.4.3
  • FortiProxy versiones 7.2.0 a 7.2.9
  • FortiProxy versiones 7.0.0 a 7.2.9
  • FortiExtender versión 7.4.0 a 7.4.2
  • FortiExtender versión 7.2.0 a 7.2.4
  • FortiExtender versión 7.0.0 a 7.0.4

Impacto:

Las vulnerabilidades se identifican como:

CVE-2024-23663: con una puntuación en CVSSv3 de 8.1, de severidad alta. Esta vulnerabilidad podría permitir a un actor malicioso obtener acceso privilegiado al sistema, lo que podría facilitar actividades maliciosas como el robo de información, la ejecución de código arbitrario o la denegación de servicio a través de una solicitud HTTP diseñada.

CVE-2024-26006: con una puntuación en CVSSv3 de 6.9, de severidad media. Esta vulnerabilidad de neutralización incorrecta de la entrada podría permitir a un actor malicioso no autenticado realice un ataque de secuencias de comandos entre sitios (XSS) mediante ingeniería social, lo que podría comprometer la seguridad de los usuarios que utilicen la interfaz de usuario web SSL VPN de FortiOS y FortiProxy.

CVE-2024-26015: con una puntuación en CVSSv3 de 4.8, de severidad media, podría permitir a un actor malicioso alterar el canal de comunicación entre el dispositivo FortiWeb y diferentes puntos finales utilizados para obtener datos para el firewall de aplicaciones web (WAF).

Recomendación:

El fabricante ha liberado parches de seguridad que resuelven las vulnerabilidades reportadas para sus productos afectados, se recomienda actualizar a la última versión disponible según el producto afectado, descargandolo desde el sitio web oficial

Referencia:

  • https://www.fortiguard.com/psirt 
  • https://nvd.nist.gov/vuln/detail/CVE-2024-26015 
  • https://nvd.nist.gov/vuln/detail/CVE-2024-23663 
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-26006
Compartir: