Fortinet ha publicado 16 avisos de seguridad que contienen 16 vulnerabilidades, de las cuales 6 son de severidad Alta, 7 de severidad Media, y 3 de severidad Baja. Estas fallas afectan a productos como:
CVE-2022-38374 [CVSSv3: 8.0]
FortiADC - XSS persistente en las páginas de registro
Una neutralización incorrecta de la entrada durante la vulnerabilidad de generación de páginas web en FortiADC puede permitir que un atacante remoto no autenticado realice un ataque de secuencias de comandos cruzadas (XSS) almacenadas a través de los campos HTTP observados en las vistas de registro de tráfico y eventos.
CVE-2022-38373 [CVSSv3: 7.3]
FortiDeceptor: Vulnerabilidad Reflected XSS en la página de recursos de Lure
Una neutralización incorrecta de la entrada durante la vulnerabilidad de generación de la página web en la interfaz de administración de FortiDeceptor puede permitir que un usuario autenticado realice un ataque de secuencias de comandos en sitios cruzados (XSS) mediante el envío de solicitudes con ID de recurso de señuelo especialmente diseñado.
CVE-2022-39950 [CVSSv3: 7.6]
FortiManager/FortiAnalyzer - Vulnerabilidad XSS en plantillas de informes
Una neutralización incorrecta de la entrada durante la vulnerabilidad de generación de la página web en las plantillas de informe de FortiManager y FortiAnalyzer puede permitir que un atacante con un nivel de privilegio bajo realice un ataque XSS mediante la publicación de un comentario "protegido" de CKeditor diseñado como se describe en CVE-2020-9281 .
CVE-2022-33870 [CVSSv3: 7.4]
FortiTester - Inyección de comandos en el comando CLI
Una neutralización incorrecta de elementos especiales utilizados en una vulnerabilidad de comando del sistema operativo [CWE-78] en el intérprete de línea de comandos de FortiTester puede permitir que un atacante autenticado ejecute comandos no autorizados a través de argumentos diseñados específicamente para comandos existentes.
CVE-2022-26119 [CVSSv3: 7.4]
FortiSIEM - Credenciales locales de Glassfish almacenadas en texto sin formato
Una vulnerabilidad de autenticación incorrecta en FortiSIEM puede permitir que un atacante local con acceso CLI realice operaciones en el servidor Glassfish directamente a través de una contraseña codificada.
CVE-2022-35851 [CVSSv3: 7.5]
FortiADC: Vulnerabilidad XSS almacenada en la página de recursos externos
Una neutralización incorrecta de la entrada durante la vulnerabilidad de generación de página web en la interfaz de administración de FortiADC puede permitir que un atacante remoto y autenticado desencadene un ataque de secuencias de comandos cruzadas (XSS) almacenadas mediante la configuración de una dirección IP especialmente diseñada.
Cisco advierte de fallas de seguridad en AnyConnect explotadas activamente |
Se recomienda lo siguiente:
El listado de las CVE se adjunta a continuación:
https://www.fortiguard.com/psirt?page=1 |
Producto | Versión |
---|---|
FortiDeceptor |
anteriores a 4.3.0 |
FortiAnalyzer |
anteriores a 7.0.5 |
FortiTester |
anteriores a 7.2.0 |
FortiSIEM |
anteriores a 6.5.0 |
FortiADC |
anteriores a 7.1.0 |
FortiOS running AV engine |
anteriores a 6.4.275 |
FortiMail |
anteriores a 7.2.1 |
FortiClient |
anteriores a 6.4.274 |
FortiClient Mac |
7.0.0 a 7.0.5 |
FortiEDR CollectorWindows |
anteriores a 5.2.0.2288 |
FortiOS |
anteriores a 7.2.2 |
FortiSOAR |
anteriores a 7.3.0 |