● 点击↑蓝字关注我们,获取更多安全风险通告
|
漏洞概述 |
|||
|
漏洞名称 |
Fortinet FortiOS SSL-VPN 远程代码执行漏洞 |
||
|
漏洞编号 |
QVD-2023-13607、CVE-2023-27997 |
||
|
公开时间 |
2023-06-09 |
影响对象数量级 |
十万级 |
|
奇安信评级 |
高危 |
CVSS 3.1分数 |
9.8 |
|
威胁类型 |
代码执行 |
利用可能性 |
高 |
|
POC状态 |
未发现 |
在野利用状态 |
未发现 |
|
EXP状态 |
未发现 |
技术细节状态 |
未公开 |
|
危害描述:允许未经身份验证的远程攻击者通过特制请求使设备远程崩溃,并可能执行任意代码。 |
|||
影响组件
Fortinet FortiOS 是美国飞塔(Fortinet)公司的一套专用于 FortiGate 网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。
漏洞描述
近日,奇安信CERT监测到Fortinet FortiOS SSL-VPN 远程代码执行漏洞(CVE-2023-27997),在Fortinet FortiOS SSL-VPN中存在一个基于堆的缓冲区溢出错误,允许未经身份验证的远程攻击者通过特制请求使设备远程崩溃,并可能执行任意代码。鉴于此漏洞影响较大,建议客户尽快做好自查及防护。
影响版本
Fortinet FortiOS 6.0.x < 6.0.17
Fortinet FortiOS 6.2.x < 6.2.15
Fortinet FortiOS 6.4.x < 6.4.13
Fortinet FortiOS 7.0.x < 7.0.12
Fortinet FortiOS 7.2.x < 7.2.5
不受影响版本
Fortinet FortiOS 6.0.x >= 6.0.17
Fortinet FortiOS 6.2.x >= 6.2.15
Fortinet FortiOS 6.4.x >= 6.4.13
Fortinet FortiOS 7.0.x >= 7.0.12
Fortinet FortiOS 7.2.x >= 7.2.5
其他受影响组件
无
安全更新
目前官方已发布新版本修复了该漏洞,可下载最新版本进行升级。
更多信息参考官方文档:
https://fortinetweb.s3.amazonaws.com/docs.fortinet.com/v2/attachments/9b64158a-f34b-11ed-8e6d-fa163e15d75b/fortios-v6.0.17-release-notes.pdf
https://fortinetweb.s3.amazonaws.com/docs.fortinet.com/v2/attachments/c46146c1-f10b-11ed-8e6d-fa163e15d75b/fortios-v6.2.15-release-notes.pdf
https://fortinetweb.s3.amazonaws.com/docs.fortinet.com/v2/attachments/a2c8550a-fe3d-11ed-8e6d-fa163e15d75b/fortios-v6.4.13-release-notes.pdf
https://fortinetweb.s3.amazonaws.com/docs.fortinet.com/v2/attachments/c7676a14-fe3d-11ed-8e6d-fa163e15d75b/fortios-v7.0.12-release-notes.pdf
https://fortinetweb.s3.amazonaws.com/docs.fortinet.com/v2/attachments/e52fe5af-fe3d-11ed-8e6d-fa163e15d75b/fortios-v7.2.5-release-notes.pdf
2023年6月12日,奇安信 CERT发布安全风险通告。
点击↓阅读原文,到NOX安全监测平台查看更多漏洞信息。
原文始发于微信公众号(奇安信 CERT):Fortinet FortiOS SSL-VPN 远程代码执行漏洞 (CVE-2023-27997) 安全风险通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论