(CVE-2023-29183) olarak takip edilen ve çeşitli FortiOS ve FortiProxy sürümlerini etkileyen yüksek önem derecesine sahip siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı, Fortinet tarafından yamalandı.
Ayrıca siber güvenlik firması, FortiWeb’de (CVE-2023-34984) olarak takip edilen yüksek önemdeki bir kusur için güncellemeler sağladı.
CISA, “Bir siber tehdit aktörü, etkilenen sistemin kontrolünü ele geçirmek için bu güvenlik açıklarından birini kullanabilir” diye uyarıyor.
CVE-2023-29183 – FortiOS ve FortiProxy
Güvenlik açığı, FortiOS ve FortiProxy GUI’de CVE-2023-29183 (CVSS puanı 7,3) olarak takip edildi. Web sayfası oluşturma sırasında girişin uygunsuz şekilde etkisiz hale getirilmesi (“Siteler Arası Komut Dosyası Çalıştırma”) güvenlik açığı bulunmaktadır.
Fortinet, danışma belgesinde “Bu, kimliği doğrulanmış bir saldırganın, hazırlanmış konuk yönetimi ayarı aracılığıyla kötü amaçlı JavaScript kodu yürütmesini tetiklemesine izin verebilir” dedi.
Etkilenen Ürünler
- FortiProxy sürüm 7.2.0 ila 7.2.4
- FortiProxy sürüm 7.0.0 ila 7.0.10
- FortiOS sürüm 7.2.0 ila 7.2.4
- FortiOS sürüm 7.0.0 ila 7.0.11
- FortiOS sürüm 6.4.0 ila 6.4.12
- FortiOS sürüm 6.2.0 ila 6.2.14
Yama Mevcut
- FortiProxy sürüm 7.2.5 veya üzeri
- FortiProxy sürüm 7.0.11 veya üzeri
- FortiOS sürüm 7.4.0 veya üzeri
- FortiOS sürüm 7.2.5 veya üzeri
- FortiOS sürüm 7.0.12 veya üzeri
- FortiOS sürüm 6.4.13 veya üzeri
- FortiOS sürüm 6.2.15 veya üzeri
CVE-2023-34984 – FortiWeb
Güvenlik açığı FortiWeb’de CVE-2023-34984 (CVSS puanı 7,1) olarak takip edildi. Koruma mekanizmasındaki bir hata güvenlik açığı, bir saldırganın XSS ve CSRF korumasını atlamasına olanak tanıyabilir.
Etkilenen Ürünler
- FortiWeb sürüm 7.2.0 ila 7.2.1
- FortiWeb sürüm 7.0.0 ila 7.0.6
- FortiWeb 6.4, tüm sürümler
- FortiWeb 6.3, tüm sürümler
Yama Mevcut
- FortiWeb sürüm 7.2.2 veya üzeri
- FortiWeb sürüm 7.0.7 veya üzeri
Bu nedenle Fortinet kullanıcılarından anahtarlarını ve güvenlik duvarlarını mümkün olan en kısa sürede yükseltmeleri isteniyor.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.