フォーティネットは特定し、修正しました 15 セキュリティ上の欠陥, そのうちの 1 つは、FortiOS および FortiProxy に存在する重大な脆弱性です。.
CVE-2023-25610 技術概要
脆弱性, CVE-2023-25610 として特定, 重大度の評価は 9.3 から 10 CVSSスケールで, 同社のセキュリティチームによって報告されました. 悪用された場合, このバッファ アンダーライトの欠陥により、認証されていないリモートの攻撃者が、公開されたデバイスで任意のコードを実行できる可能性があります。, または、GUI でサービス拒否攻撃を行う, 特別に細工されたリクエストの助けを借りて.
入力データが割り当てられたスペースよりも短い場合、バッファ アンダーライトが発生します。, これにより、予期しない動作や機密データの漏洩が発生する可能性があります, 公式のアドバイスによると. 現在, フォーティネットは、この脆弱性が悪意を持って使用された事例を認識していません. 同社は、製品のセキュリティを常に見直し、調査していると付け加えました。, この特定の脆弱性は、これらの手段を通じて内部的に特定されました.
CVE-2023-25610 の影響を受けるフォーティネット製品?
CVE-2023-25610 の脆弱性は、次の FortiOS および FortiProxy バージョンに影響を与えています。:
FortiOS バージョン 7.2.0 終えた 7.2.3
FortiOS バージョン 7.0.0 終えた 7.0.9
FortiOS バージョン 6.4.0 終えた 6.4.11
FortiOS バージョン 6.2.0 終えた 6.2.12
FortiOS 6.0 すべてのバージョン
FortiProxy バージョン 7.2.0 終えた 7.2.2
FortiProxy バージョン 7.0.0 終えた 7.0.8
FortiProxy バージョン 2.0.0 終えた 2.0.11
FortiProxy 1.2 すべてのバージョン
FortiProxy 1.1 すべてのバージョン
脆弱な FortiOS バージョンを実行している場合でも, 多数のハードウェア デバイス 勧告に記載されている 問題の DoS 部分によってのみ影響を受ける, 任意のコードの実行によるものではありません. リストされていないデバイスは両方に対して脆弱です, フォーティネットは言った.
アドバイザリには、考えられる回避策も記載されています. CVE-2023-25610 は内部で発見され、Burnaby InfoSec チームの Kai Ni によって報告されました.
CVE-2022-39947 は、1 月に発見された重大なフォーティネットの脆弱性の別の例です。 2023 FortiADC 製品 – フォーティネットの高度なアプリケーションおよびデータベース配信コントローラー. この脆弱性は、製品の Web インターフェイスでのコマンド インジェクションの問題として定義されました。, 評価 8.6 から 10 CVSSスケールで.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: