 |
Fortinet ha publicado 11 nuevos avisos de seguridad que contemplan 11 vulnerabilidades, las cuales son clasificadas de acuerdo a siguiente detalle, 4 de severidad Alta, 6 de severidad Media y 1 de severidad Baja. Estas fallas de seguridad afectan a productos como FortiOS, FortiClientWindows, FortiProxy , FortiManager, entre otros. |
Vulnerabilidades de Severidad Alta
CVE-2022-26117 [CVSS v3: 8.0]
FortiNAC - Unprotected MySQL root account
Una contraseña vacía en la vulnerabilidad del archivo de configuración en FortiNAC puede permitir que un atacante autenticado acceda a las bases de datos MySQL a través de la CLI.
CVE-2022-30302 [CVSS v3: 7.9]
FortiDeceptor - Path traversal vulnerability
Puede permitir que un atacante remoto y autenticado recupere y elimine archivos arbitrarios del sistema de archivos subyacente, a través de solicitudes web especialmente diseñadas, esto debido a múltiples vulnerabilidades de path traversal.
CVE-2021-41031 [CVSS v3: 7.8]
FortiClient (Windows) - Privilege Escalation via directory traversal attack
Puede permitir que un atacante local sin privilegios escale sus privilegios a SYSTEM, a través de la canalización del responsable del servicio FortiESNAC, esto debido a una vulnerabilidad de path traversal.
CVE-2021-43072 [CVSS v3: 7.4]
FortiAnalyzer/FortiManager/FortiOS/FortiProxy - stack-based buffer overflow via crafted CLI execute command
Puede permitir que un atacante privilegiado ejecute código o comandos arbitrarios a través de la CLI manipulada: “execute restore image” y “execute certificate remote” con el protocolo TFTP.
Esto se debe a una copia del búfer sin verificar el tamaño de la vulnerabilidad de entrada (desbordamiento de búfer).
Severidad Media
CVE-2022-27483 [CVSS v3: 6.8]
FortiAnalyzer & FortiManager - OS command injection vulnerability in CLI
CVE-2022-26118 [CVSS v3: 6.5]
FortiManager & FortiAnalyzer - Privilege escalation vulnerability
CVE-2021-44170 [CVSS v3: 6.3]
FortiOS & FortiProxy - Stack-based buffer overflows in diagnostic CLI commands
CVE-2022-26120 [CVSS v3: 5.1]
FortiADC - Multiple SQL Injection vulnerabilities in the management interface
CVE-2022-29057 [CVSS v3: 5.1]
FortiEDR - Cross Site Scripting (XSS) vulnerabilities over the Management Console
CVE-2021-42755 [CVSS v3: 4.2]
Multiple products - Integer overflow in dhcpd daemon
Severidad Baja
CVE-2022-23438 [CVSS v3: 3.9]
FortiOS -- XSS vulnerability observed in the authentication replacement pages
Mitigación
Se recomienda lo siguiente:
Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.