Se ha reportado una vulnerabilidad de severidad crítica en productos de Fortinet FortiOS y FortiProxy, que está identificada como CVE-2024-21762 (CVSS 9.8) y podría permitir a un actor malicioso ejecutar código o comandos no autorizados a través de solicitudes específicamente manipuladas.
Productos afectados:
- FortiOS 7.4 7.4.0 a 7.4.2
- FortiOS 7.2 7.2.0 a 7.2.6
- FortiOS 7.0 7.0.0 a 7.0.13
- FortiOS 6.4 6.4.0 a 6.4.14
- FortiOS 6.2 6.2.0 a 6.2.15
- FortiOS 6.0 6.0.0 a 6.0.17
- FortiProxy 7.4 7.4.0 a 7.4.2
- FortiProxy 7.2 7.2.0 a 7.2.8
- FortiProxy 7.0 7.0.0 a 7.0.14
- FortiProxy 2.0 2.0.0 a 2.0.13
- FortiProxy 1.2 1.2 y todas las versiones
- FortiProxy 1.1 1.1 y todas las versiones
- FortiProxy 1.0 1.0 y todas las versiones
Recomendaciones:
Para mitigar esta vulnerabilidad se podría deshabilitar el SSL VPN (solución alternativa), o aplicar las actualizaciones listadas a continuación, que resuelven la vulnerabilidad encontrada:
- FortiOS 7.4 Actualice a 7.4.3 o superior
- FortiOS 7.2 Actualice a 7.2.7 o superior
- FortiOS 7.0 Actualice a 7.0.14 o superior
- FortiOS 6.4 Actualice a 6.4.15 o superior
- FortiOS 6.2 Actualice a 6.2.16 o superior
- FortiOS 6.0 Actualice a 6.0.18 o superior
- FortiProxy 7.4 Actualice a 7.4.3 o superior
- FortiProxy 7.2 Actualice a 7.2.9 o superior
- FortiProxy 7.0 Actualice a 7.0.15 o superior
- FortiProxy 2.0 Actualice a 2.0.14 o superior
- FortiProxy 1.2 Migrar a una versión fija
- FortiProxy 1.1 Migrar a una versión fija
- FortiProxy 1.0 Migrar a una versión fija
Referencias: