Fortinet informa una vulnerabilidad con una puntuación CVSS de 7.5 para FortiOS y FortiProxy y, por lo tanto, se considera altamente peligrosa. Los atacantes podrían recuperar la cookie del administrador y así obtener acceso no autorizado. Hay varias actualizaciones disponibles en Fortinet.
Fortinet describe la notificación de seguridad para la vulnerabilidad de alto riesgo con puntuación CVSS 7.5 de la siguiente manera: “Una vulnerabilidad con credenciales insuficientemente protegidas en FortiOS y FortiProxy podría, en casos raros y específicos, permitir que un atacante obtenga la cookie del administrador convenciendo al administrador de que hágalo para visitar un sitio web controlado por atacantes maliciosos a través de SSL VPN”. De esta forma, los atacantes podrían obtener mayores derechos o filtrar datos confidenciales. La vulnerabilidad tiene el siguiente identificador: CVE-2023-41677.
Versiones afectadas de FortiOS y FortiProxy
| FortiOS 7.4 | 7.4.0 a 7.4.1 |
| FortiOS 7.2 | 7.2.0 a 7.2.6 |
| FortiOS 7.0 | 7.0.0 a 7.0.12 |
| FortiOS 6.4 | 6.4.0 a 6.4.14 |
| FortiOS 6.2 | 6.2.0 a 6.2.15 |
| FortiOS 6.0 | 6.0 todas las versiones |
| FortiProxy 7.4 | 7.4.0 a 7.4.1 |
| FortiProxy 7.2 | 7.2.0 a 7.2.7 |
| FortiProxy 7.0 | 7.0.0 a 7.0.13 |
| FortiProxy 2.0 | 2.0 todas las versiones |
| FortiProxy 1.2 | 1.2 todas las versiones |
| FortiProxy 1.1 | 1.1 todas las versiones |
Acerca de Fortinet Fortinet (NASDAQ: FTNT) protege los activos más valiosos de algunas de las empresas, proveedores de servicios y agencias gubernamentales más grandes del mundo. Ofrecemos a nuestros clientes visibilidad y control completos sobre la superficie de ataque en expansión y la capacidad de cumplir con los requisitos de rendimiento cada vez mayores hoy y en el futuro. Solo la plataforma Security Fabric de Fortinet puede abordar los desafíos de seguridad más críticos y proteger los datos en toda la infraestructura digital, ya sea en entornos de red, aplicaciones, múltiples nubes o perimetrales. Fortinet es el número 1 para la mayoría de los dispositivos de seguridad enviados. Más de 455.000 clientes confían en Fortinet para proteger su marca. Tanto una empresa de tecnología como una empresa de capacitación, el Instituto Fortinet Network Security Expert (NSE) tiene uno de los programas de capacitación en seguridad cibernética más grandes y completos de la industria. Para obtener más información, visite www.fortinet.de, el blog de Fortinet o FortiGuard Labs.