Af Eskil Sørensen, 07/11/22
Fortinet har udsendt rettelser til 16 sårbarheder i nogle af virksomhedens produkter. Det skriver Security Affairs.
En af de mere alvorlige sårbarheder vedrører cross-site scripting (XSS) i Log-siderne i FortiADC. FortiADC er en kontrolfeature, som sikrer applikationers tilgængelighed, sikkerhed og optimering. Fejlen har id’et CVE-2022-38374 og en CVSS-score på 8,8. Sårbarheden kan udnyttes af en ekstern, uautoriseret angriber kan udløse fejlen til at udføre et lagret cross-site scripting (XSS)-angreb via HTTP-felter, der observeres i trafik- og hændelseslogvisningerne.
Derudover retter Fortinet sårbarheder i bl.a. FortiTester og FortiSIEM
Listen over de behandlede sårbarheder findes på Fortnets sikkerhedsside, Fortiguard.
Tidligere i oktober erkendte Fortinet, at der var udnyttelser in-the-wild af en kritisk sårbarhed i relation til FortiGate-firewalls og FortiProxy-webproxyer med en CVSS-score på 9,8. En sårbarhed (CVE-2022-40684) som kan bruges af en angriber til at logge ind på sårbare enheder.
Links:
https://fortiguard.com/psirt/FG-IR-22-232
https://securityaffairs.co/wordpress/138021/security/fortinet-nov-2022-flaws.html
https://cert.dk/da/news/2022-10-10/Kritisk-saarbarhed-i-Fortinet-FortiGate-og-FortiProxy