Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a productos Fortinet, que permitirían a un atacante realizar inyección de comandos, cross-site scripting (XSS), fuga de información confidencial, entre otros.
Las vulnerabilidades reportadas se componen de 6 (seis) de severidad de “Alta”, 7 (siete) de severidad “Media” y 3 (tres) de severidad “Baja”. Las principales se detallan a continuación:
- CVE-2022-38374, de severidad “Alta”, con una puntuación asignada de 8.8. Esta vulnerabilidad se debe a una validación de entrada incorrecta en la interfaz de administración web de FortiADC. Esto permitiría a un atacante remoto no autenticado realizar ataques de cross-site scripting (XSS) persistentes a través de los campos de la URL y de usuario.
- CVE-2022-39950, de severidad “Alta”, con una puntuación asignada de 8.0. Esta vulnerabilidad se debe a una validación de entrada incorrecta en las plantillas de informes de FortiManager y FortiAnalyzer. Esto permitiría a un atacante con privilegios limitados realizar ataques de cross-site scripting (XSS) a través de comentarios CKeditor especialmente diseñados.
- CVE-2022-35851, de severidad “Alta”, con una puntuación asignada de 8.0. Esta vulnerabilidad se debe a una validación de entrada incorrecta en la interfaz de administración web de FortiADC. Esto permitiría a un atacante remoto autenticado realizar ataques de cross-site scripting (XSS) a través de direcciones IP especialmente diseñadas.
Puede acceder a la lista completa de vulnerabilidades en el siguiente enlace.
Algunos productos afectados son:
- FortiDeceptor, versiones anteriores a 4.3.0.
- FortiADC, versiones anteriores a 7.1.0.
- FortiEDR CollectorWindows, versiones anteriores a 5.2.0.2288.
- FortiAnalyzer, versiones anteriores a 7.0.5.
- FortiClient Mac, versión 7.0.0 a 7.0.5.
- FortiSIEM, versiones anteriores a 6.5.0.
Puede acceder a la lista completa de las versiones afectadas en el siguiente enlace.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en el siguiente enlace:
Referencias:
- https://portal.cci-entel.cl/Threat_Intelligence/Boletines/1407/
- https://www.securityweek.com/fortinet-patches-6-high-severity-vulnerabilities
- https://www.fortiguard.com/psirt?page=1
- https://nvd.nist.gov/vuln/detail/CVE-2022-38374
- https://nvd.nist.gov/vuln/detail/CVE-2022-39950
- https://nvd.nist.gov/vuln/detail/CVE-2022-35851
- https://support.fortinet.com/welcome/#/