9VSA23-00860-01 CSIRT comparte información de nuevas vulnerabilidades parchadas por Fortinet para FortiOS y FortiProxy

Resumen

El CSIRT de Gobierno comparte información de nuevas vulnerabilidades parchadas por Fortinet para FortiOS y FortiProxy.

Vulnerabilidades

CVE-2023-33308

CVE-2023-33306

CVE-2023-28001

CVE-2023-27997

Impacto

Vulnerabilidades de riesgo crítico

CVE-2023-33308: Vulnerabilidad de desborde stack-based, que afecta la función de inspección profunda en modo proxy en FortiOS y FortiProxy, que puede permitir a un atacante remoto ejecutar código arbitrario o comandos. CVSSv3: 9.8.

CVE-2023-27997: Vulnerabilidad de desborde heap-based en FortiOS y FortiProxy SSL-VPN, permite a un atacante remoto ejecutar código arbitrario o comandos a través de solicitudes especialmente diseñadas. CVSSv3: 9.2.

Mitigación

Instalar las respectivas actualizaciones entregadas por el proveedor.

Productos afectados

FortiOS-6K7K 7.0.5 a 6.0.10.

FortiOS: 7.2.4 a 6.0.0.

FortiProxy 7.2.3 a 1.1.0.

Enlaces

https://www.fortiguard.com/psirt/FG-IR-23-183

https://www.fortiguard.com/psirt/FG-IR-23-097

https://www.fortiguard.com/psirt/FG-IR-23-028

https://www.fortiguard.com/psirt/FG-IR-23-015

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-33308

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-33306

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-28001

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-27997

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA23-00860-01.