Casa > Ciber Noticias > CVE-2023-25610: Defecto crítico en FortiOS y FortiProxy
CYBER NOTICIAS

CVE-2023-25610: Defecto crítico en FortiOS y FortiProxy

Fortinet ha identificado y corregido 15 fallos de seguridad, uno de los cuales una vulnerabilidad crítica ubicada en FortiOS y FortiProxy.

CVE-2023-25610 Resumen técnico

La vulnerabilidad, identificado como CVE-2023-25610, tiene un índice de gravedad de 9.3 de 10 en la escala CVSS, y fue denunciado por los equipos de seguridad de la empresa. Si se explota, esta falla de suscripción de búfer permitiría a atacantes remotos no autenticados ejecutar código arbitrario en dispositivos expuestos, o realizar un ataque de denegación de servicio en la GUI, con la ayuda de solicitudes especialmente diseñadas.

CVE-2023-25610- Falla crítica en FortiOS y FortiProxy -sensorstechforum
Se produce una suscripción de búfer cuando los datos de entrada son más cortos que el espacio asignado, lo que puede conducir a un comportamiento impredecible o a la filtración de datos confidenciales, según el aviso oficial. Actualmente, Fortinet no tiene conocimiento de ningún caso en el que esta vulnerabilidad se haya utilizado maliciosamente.. La compañía agregó que están constantemente revisando y examinando la seguridad de sus productos., y esta vulnerabilidad particular fue identificada internamente a través de estos medios.

Qué productos de Fortinet han sido afectados por CVE-2023-25610?

La vulnerabilidad CVE-2023-25610 ha afectado a las siguientes versiones de FortiOS y FortiProxy:

Versión de FortiOS 7.2.0 mediante 7.2.3
Versión de FortiOS 7.0.0 mediante 7.0.9
Versión de FortiOS 6.4.0 mediante 6.4.11
Versión de FortiOS 6.2.0 mediante 6.2.12
FortiOS 6.0 Todas las versiones
Versión FortiProxy 7.2.0 mediante 7.2.2
Versión FortiProxy 7.0.0 mediante 7.0.8
Versión FortiProxy 2.0.0 mediante 2.0.11
fortiproxy 1.2 Todas las versiones
fortiproxy 1.1 Todas las versiones

Incluso cuando se ejecuta una versión vulnerable de FortiOS, una serie de dispositivos de hardware de la empresa enumerados en el aviso solo se ven afectados por la parte DoS del problema, no por la ejecución de código arbitrario. Los dispositivos no listados son vulnerables a ambos, Fortinet dijo.




El aviso también presenta una posible solución alternativa.. CVE-2023-25610 fue descubierto internamente y reportado por Kai Ni del equipo Burnaby InfoSec.

CVE-2022-39947 es otro ejemplo de una vulnerabilidad grave de Fortinet que se descubrió en enero 2023 en el producto FortiADC: un controlador avanzado de entrega de aplicaciones y bases de datos de Fortinet. La vulnerabilidad se definió como un problema de inyección de comandos en la interfaz web del producto., Calificación 8.6 de 10 en la escala CVSS.

Milena Dimitrova

Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo