Fortinet解决了一个关键缓冲区承保(“缓冲区下溢”)漏洞,被跟踪为CVE-2023-25610(CVSS v3 9.3),该漏洞位于FortiOS和FortiProxy的管理界面中。未经身份验证的远程攻击者可以利用该漏洞在易受攻击的设备上执行任意代码,并通过发送特制的请求在GUI上触发DoS条件。
该漏洞影响以下产品:
-
FortiOS version 7.2.0 through 7.2.3
-
FortiOS version 7.0.0 through 7.0.9
-
FortiOS version 6.4.0 through 6.4.11
-
FortiOS version 6.2.0 through 6.2.12
-
FortiOS 6.0, all versions
-
FortiProxy version 7.2.0 through 7.2.2
-
FortiProxy version 7.0.0 through 7.0.8
-
FortiProxy version 2.0.0 through 2.0.11
-
FortiProxy 1.2, all versions
-
FortiProxy 1.1, all versions
所有版本安全供应商发布了以下更新以解决此问题:
-
FortiOS version 7.4.0 or above
-
FortiOS version 7.2.4 or above
-
FortiOS version 7.0.10 or above
-
FortiOS version 6.4.12 or above
-
FortiOS version 6.2.13 or above
-
FortiProxy version 7.2.3 or above
-
FortiProxy version 7.0.9 or above
-
FortiProxy version 2.0.12 or above
-
FortiOS-6K7K version 7.0.10 or above
-
FortiOS-6K7K version 6.4.12 or above
-
FortiOS-6K7K version 6.2.13 or above
该公司宣布,它没有意识到利用该漏洞进行的野外攻击。该建议包括一个模型列表,对于这些模型,利用该漏洞只能触发DoS条件。Fortinet还为该漏洞提供了一种解决方法,该公司建议禁用HTTP/HTTPS管理接口或限制可以到达管理接口的IP地址。
原文始发于微信公众号(黑猫安全):Fortinet FortiOS和FortiProxy存在严重缺陷,请立即修补!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论