Af Eskil Sørensen, 18/09/23
Fortinet har udgivet sikkerhedsopdateringer til håndtering af to sårbarheder, der påvirker to af Fortinets produkter.
Den ene sårbarhed har id’et CVE-2023-34984 og en CVSS-score på 7,1, det vil sige, at den betegnes som alvorlig. Ifølge en advisory, som Fortinet har offentliggjort, kan fejlen gøre det muligt for en angriber at omgå XSS- og CSRF-beskyttelse i Fortiweb. De påvirkede produkter er:
- FortiWeb version 7.2.0 til 7.2.1
- FortiWeb version 7.0.0 til 7.0.6
- FortiWeb 6.4 alle versioner
- FortiWeb 6.3 alle versioner
Det anbefales, at der opgraderes til hhv FortiWeb version 7.2.2 og derover eller FortiWeb version 7.0.7 eller derover.
Den anden sårbarhed har id’et CVE-2023-29183 og en score på 7,3. Den påvirker FortiOS og FortiProxy GUI og gør det muligt for en autentificeret angriber at udløse ondsindet JavaScript-kodekørsel.
De påvirkede produkter er:
- FortiProxy version 7.2.0 til 7.2.4
- FortiProxy version 7.0.0 til 7.0.10
- FortiOS version 7.2.0 til 7.2.4
- FortiOS version 7.0.0 til 7.0.11
- FortiOS version 6.4.0 til 6.4.12
- FortiOS version 6.2.0 til 6.2.14
Løsningen er opgradering til
- FortiProxy version 7.2.5 eller derover
- FortiProxy version 7.0.11 eller derover
- FortiOS version 7.4.0 eller derover
- FortiOS version 7.2.5 eller derover
- FortiOS version 7.0.12 eller derover
- FortiOS version 6.4.13 eller derover
- FortiOS version 6.2.15 eller derover
Fortinet er en større udbyder af sikkerhedsløsninger i produkterne FortiWeb, FortiOS, FortiNAC og FortiProxy.