Af Eskil Sørensen, 18/08/23
Der er fundet bufferoverløbssårbarhed i FortiOS, der kan gøre det muligt for en angriber med relevante privilegier at afvikle vilkårlig kode via specielt udformede CLI-kommandoer. Sårbarheden har id’et CVE-2023-29182 og en CVSS-score på 6,4. Sårbarheden har typebetegnelsen CWE-121, hvilket er identifikationsnummeret for ’stack-based buffer overflow’-sårbarheder. Det fremgår af Mitres beskrivelse af CWE-121, at buffer overflows ofte fører til nedbrud eller andre typer af tilgængelighedsproblemer. Buffer overflow kan også føre til afvikling af vilkårlig kode, som det er i dette tilfælde.
De berørte produkter er
- FortiOS version 7.0.0 til 7.0.3
- FortiOS 6.4 alle versioner
- FortiOS 6.2 alle versioner
Fortinet anbefaler opgradering til hhv. FortiOS version 7.4.0 eller nyere, FortiOS version 7.2.0 eller FortiOS version 7.0.4 eller nyere.