Fortinet relata uma vulnerabilidade com pontuação CVSS de 7.5 para FortiOS e FortiProxy e, portanto, é considerada altamente perigosa. Os invasores poderiam recuperar o cookie do administrador e, assim, obter acesso não autorizado. Várias atualizações estão disponíveis na Fortinet.
A Fortinet descreve a notificação de segurança para a vulnerabilidade de alto risco com pontuação CVSS 7.5 da seguinte forma: “Uma vulnerabilidade com credenciais insuficientemente protegidas no FortiOS e FortiProxy pode, em casos raros e específicos, permitir que um invasor obtenha o cookie do administrador, convencendo o administrador a faça isso para visitar um site controlado por invasores mal-intencionados via SSL VPN.” Dessa forma, os invasores poderiam obter direitos mais elevados ou vazar dados confidenciais. A vulnerabilidade possui o seguinte identificador: CVE-2023-41677.
Versões afetadas do FortiOS e FortiProxy
| FortiOS 7.4 | 7.4.0 7.4.1 para |
| FortiOS 7.2 | 7.2.0 7.2.6 para |
| FortiOS 7.0 | 7.0.0 7.0.12 para |
| FortiOS 6.4 | 6.4.0 6.4.14 para |
| FortiOS 6.2 | 6.2.0 6.2.15 para |
| FortiOS 6.0 | 6.0 todas as versões |
| FortiProxy 7.4 | 7.4.0 7.4.1 para |
| FortiProxy 7.2 | 7.2.0 7.2.7 para |
| FortiProxy 7.0 | 7.0.0 7.0.13 para |
| FortiProxy 2.0 | 2.0 todas as versões |
| FortiProxy 1.2 | 1.2 todas as versões |
| FortiProxy 1.1 | 1.1 todas as versões |
Sobre a Fortinet A Fortinet (NASDAQ: FTNT) protege os ativos mais valiosos de algumas das maiores empresas, provedores de serviços e agências governamentais do mundo. Oferecemos aos nossos clientes visibilidade e controle completos sobre a superfície de ataque em expansão e a capacidade de atender aos requisitos de desempenho cada vez maiores hoje e no futuro. Somente a plataforma Fortinet Security Fabric pode enfrentar os desafios de segurança mais críticos e proteger dados em toda a infraestrutura digital, seja em rede, aplicativos, multinuvem ou ambientes de borda. Fortinet é o número 1 para a maioria dos dispositivos de segurança enviados. Mais de 455.000 clientes confiam na Fortinet para proteger sua marca. Tanto uma empresa de tecnologia quanto uma empresa de treinamento, o Fortinet Network Security Expert (NSE) Institute possui um dos maiores e mais abrangentes programas de treinamento em segurança cibernética do setor. Para obter mais informações, visite www.fortinet.de, Fortinet Blog ou FortiGuard Labs.