Ciberseguridad 360 | Fortinet corrige Vulnerabilidades Criticas

Fortinet ha lanzado parches para una vulnerabilidad de secuencias de comandos entre sitios (XSS) de alta gravedad que afecta a m�ltiples versiones de FortiOS y FortiProxy.

Registrado como CVE-2023-29183 (puntuaci�n CVSS de 7,3), el defecto de seguridad se describe como una ?neutralizaci�n inadecuada de la entrada durante la generaci�n de la p�gina web?.

La explotaci�n exitosa del error, explica Fortinet en un aviso , puede permitir que un atacante autenticado utilice configuraciones de administraci�n de invitados dise�adas para desencadenar la ejecuci�n de c�digo JavaScript malicioso.

Identificada por el equipo CSE de Fortinet, la falla afecta las versiones 7.0.x y 7.2.x de FortiProxy, y las versiones 6.2.x, 6.4.x, 7.0.x y 7.2.x de FortiOS.

Fortinet ha lanzado las versiones 7.0.11 y 7.2.5 de FortiProxy, y las versiones 6.2.15, 6.4.13, 7.0.12, 7.2.5 y 7.4.0 de FortiOS para solucionar este problema.

La compa��a de ciberseguridad tambi�n lanz� parches para un problema de alta gravedad en su firewall de aplicaciones web y soluci�n de protecci�n API FortiWeb.

Registrado como CVE-2023-34984 (puntuaci�n CVSS de 7,1), el problema podr�a permitir a un atacante eludir las protecciones XSS y falsificaci�n de solicitudes entre sitios (CSRF) existentes, explica la compa��a .

Seg�n Fortinet, el error afecta a las versiones 6.3, 6.4, 7.0.x y 7.2.x de FortiWeb y se solucion� con el lanzamiento de las versiones 7.0.7 y 7.2.2 de FortiWeb.

Se recomienda a los usuarios de Fortinet que actualicen sus firewalls y conmutadores lo antes posible. Si bien la compa��a no menciona ninguna de estas vulnerabilidades siendo explotadas en ataques, las fallas en los dispositivos Fortinet han sido atacadas en estado salvaje para obtener acceso a las redes empresariales.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) advierte que la explotaci�n de estos errores podr�a comprometer todo el sistema y aconseja a los administradores que revisen los avisos de Fortinet y apliquen las actualizaciones necesarias.

"Un actor de amenazas cibern�ticas puede explotar una de estas vulnerabilidades para tomar el control de un sistema afectado", se�ala CISA.

Fuente: securityweek.com