Fortinet ha publicado nuevos avisos de seguridad sobre las vulnerabilidades en FortiOS y FortiSandbox. Los valores CVSS están entre 7.3 y 7.9 y, por tanto, se consideran altamente peligrosos. Los administradores de seguridad de TI deben realizar actualizaciones de inmediato.
Las vulnerabilidades altamente peligrosas y las posibles consecuencias se describen en detalle en los avisos de seguridad de Fortinet.
FortiOS: autorización ilegal a través del perfil Prof Admin (CVSSv3 7.4)
Problema: Una vulnerabilidad de autorización inadecuada [CWE-285] en el componente WEB-UI de FortiOS podría permitir que un atacante autenticado con el perfil prof-admin realice acciones elevadas.
solución: FortiOS 7.4 no se ve afectado, la actualización de FortiOS 7.2 7.2.0 a 7.2.4 debe actualizarse a 7.2.5 o superior, FortiOS 7.0 7.0.0 a 7.0.11 debe actualizarse a 7.0.12 o superior.
FortiSandbox: secuencias de comandos entre sitios (XSS) reflejadas en el punto final de renderizado File OnDemand (CVSSv3 7.3)
Problema: La neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web (“cross-site scripting”) [CWE-79] en FortiSandbox podría permitir que un atacante autenticado lleve a cabo un ataque de cross-site scripting a través de solicitudes HTTP diseñadas.
solución: Es necesario migrar FortiSandbox 2.4.1 a 3.2 a una versión fija. Fortinet 4.0.0 a 4.0.3 requiere una actualización a 4.0.4. Fortinet 4.2.0 a 4.2.5 y 4.4.0 a 4.4.1 requieren una actualización a 4.4.2 o posterior.
FortiSandbox – Eliminación arbitraria de archivos (CVSSv3 7.9)
Problema: La restricción inadecuada de un nombre de ruta a una vulnerabilidad de directorio restringido (“Path Traversal”) [CWE-22] en FortiSandbox podría permitir a un atacante con pocos privilegios eliminar archivos arbitrarios mediante solicitudes http diseñadas. Todas las versiones de están afectadas. FortiSandbox 2.4 a 3.2, versiones 4.0.0 a 4.0.3, versiones 4.2.0 a 4.2.5 y versión 4.4.0
solución: Las versiones seguras son FortiSandbox 4.0.4, 4.2.6 y 4.4.2 o posteriores. Las actualizaciones están disponibles para descargar.
FortiSandbox – XSS al eliminar el punto final (CVSSv3 7.3)
Problema: La vulnerabilidad [CWE-79] en FortiSandbox, que neutraliza múltiples entradas inadecuadas durante la generación del sitio web (“cross-site scripting”), podría permitir a un atacante autenticado llevar a cabo un ataque de cross-site scripting a través de solicitudes HTTP diseñadas.
solución: Es necesario migrar FortiSandbox 2.4.1 a 3.2 a una versión fija. Fortinet 4.0.0 a 4.0.3 requiere una actualización a 4.0.4. Fortinet 4.2.0 a 4.2.5 y 4.4.0 a 4.4.1 requieren una actualización a 4.4.2 o posterior.
Puede encontrar más avisos de seguridad, descripciones y las actualizaciones correspondientes en Fortinet.
Más en Sophos.com
Acerca de Fortinet Fortinet (NASDAQ: FTNT) protege los activos más valiosos de algunas de las empresas, proveedores de servicios y agencias gubernamentales más grandes del mundo. Ofrecemos a nuestros clientes visibilidad y control completos sobre la superficie de ataque en expansión y la capacidad de cumplir con los requisitos de rendimiento cada vez mayores hoy y en el futuro. Solo la plataforma Security Fabric de Fortinet puede abordar los desafíos de seguridad más críticos y proteger los datos en toda la infraestructura digital, ya sea en entornos de red, aplicaciones, múltiples nubes o perimetrales. Fortinet es el número 1 para la mayoría de los dispositivos de seguridad enviados. Más de 455.000 clientes confían en Fortinet para proteger su marca. Tanto una empresa de tecnología como una empresa de capacitación, el Instituto Fortinet Network Security Expert (NSE) tiene uno de los programas de capacitación en seguridad cibernética más grandes y completos de la industria. Para obtener más información, visite www.fortinet.de, el blog de Fortinet o FortiGuard Labs.