Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad identificada como CVE-2023-29183, que afecta a FortiOS y FortiProxy de Fortinet, que podría permitir a un atacante autenticado realizar ataques del tipo Cross-Site Scripting (XSS) a través de la página web de configuración para la gestión de usuarios invitados en los productos afectados.
Productos afectados:
- FortiProxy, versión 7.2.0 hasta 7.2.4.
- FortiProxy, versión 7.0.0 hasta 7.0.10.
- FortiOS, versión 7.2.0 hasta 7.2.4.
- FortiOS, versión 7.0.0 hasta 7.0.11.
- FortiOS, versión 6.4.0 hasta 6.4.12.
- FortiOS, versión 6.2.0 hasta el 6.2.14.
Información adicional:
- https://www.cert.gov.py/wp-content/uploads/2023/09/BOL-CERT-PY-2023-43-Vulnerabilidad-de-Cross-Site-Scripting-XSS-en-productos-Fortinet.pdf
- https://www.incibe.es/incibe-cert/alerta-temprana/avisos/cross-site-scripting-en-productos-fortios-y-fortiproxy-de-fortinet
- https://nvd.nist.gov/vuln/detail/CVE-2023-29183
- https://www.fortiguard.com/psirt/FG-IR-23-106