9VSA23-00949-01 CSIRT comparte información de vulnerabilidad en FortiOS, FortiProxy y FortiPAM
El CSIRT de Gobierno comparte información sobre una vulnerabilidad de riesgo alto que afecta a FortiOS, FortiProxy y FortiPAM.
Resumen
El CSIRT de Gobierno comparte información sobre una vulnerabilidad de riesgo alto que afecta a FortiOS, FortiProxy y FortiPAM.
Vulnerabilidades
Impacto
Vulnerabilidades de riesgo alto:
CVE-2023-36639: Vulnerabilidad de formato de cadenas (CWE.134) en el Daemon HTTPSd de FortiOS, FortiProxy y FortiPAM, que podría permitir a un usuario no autenticado ejecutar código no autorizado o comandos a través de solicitudes API especialmente diseñadas. CVSSv3: 7.
Mitigación
Actualizar según su producto a una versión actualizada siguiendo lo indicado por Fortinet aquí: https://docs.fortinet.com/upgrade-tool
Productos afectados
FortiProxy 7.2.0 a 7.2.4 y 7.0.0 a 7.0.10
FortiOS: 7.4.0, 7.2.0 a 7.2.4 y 7.0.0 a 7.0.11, 6.4.0 a 6.4.12, 6.2.0 a 6.2.15. 6.0.0 a 6.0.17
FortiPAM: 1.0.0 a 1.0.3
Enlaces
https://www.fortiguard.com/psirt/FG-IR-23-138
https://cwe.mitre.org/data/definitions/134.html
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA23-00949-01.