2023-0399: FortiWeb: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2023-02-17 12:51)

Neues Advisory

Version 2 (2023-02-17 16:00)

Fortinet behebt mit den Versionen 5.9.2, 6.0.8, 6.1.3, 6.2.7 und 6.3.21 die Schwachstellen CVE-2021-42756, CVE-2021-42761, CVE-2022-30299, CVE-2022-30300, CVE-2022-30303, CVE-2023-23778, CVE-2023-23781, CVE-2023-23784 und CVE-2023-25602. Ein Angreifer kann mehrere dieser Schwachstellen aus der Ferne ausnutzen, um beliebigen Programmcode auszuführen, Sicherheitsvorkehrungen zu umgehen und Informationen auszuspähen. Zudem kann ein Angreifer zwei Schwachstellen im benachbarten Netzwerk ausnutzen, um beliebigen Programmcode auszuführen und Informationen auszuspähen. Eine Schwachstelle kann ein Angreifer lokal ausnutzen, um beliebigen Programmcode auszuführen.

Version 3 (2023-02-27 16:32)

Fortinet behebt mit den FortiWeb Versionen 7.0.5 und 7.2.0 die Schwachstelle CVE-2023-22636. Ein Angreifer mit niedrigen Privilegien kann die Schwachstelle lokal ausnutzen, um beliebigen Programmcode oder Kommandos auszuführen.

Betroffene Software

Sicherheit

Betroffene Plattformen

Netzwerk
FortiNet

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen und beliebigen Programmcode auszuführen. Zudem kann ein Angreifer zwei Schwachstellen im benachbarten Netzwerk ausnutzen, um Privilegien zu eskalieren und beliebigen Programmcode auszuführen. Mehrere Schwachstellen kann ein Angreifer lokal ausnutzen, um Privilegien zu eskalieren und beliebigen Programmcode auszuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich.

Der Hersteller informiert über die Schwachstellen und stellt die FortiWeb Versionen 6.3.20, 7.0.4 und 7.2.0 als Sicherheitsupdates bereit.

Schwachstellen:

CVE-2021-42756

Schwachstelle in FortiWeb ermöglicht Ausführen beliebigen Programmcodes

CVE-2021-42761

Schwachstelle in FortiWeb ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-43074

Schwachstelle in FortiWeb, FortiOS und FortiSwitch ermöglicht Ausspähen von Informationen

CVE-2022-30299

Schwachstelle in FortiWeb ermöglicht Ausspähen von Informationen

CVE-2022-30300

Schwachstelle in FortiWeb ermöglicht Ausspähen von Informationen

CVE-2022-30303

Schwachstelle in FortiWeb ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-30306

Schwachstelle in FortiWeb ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-33871

Schwachstelle in FortiWeb ermöglicht Ausführen beliebigen Programmcodes

CVE-2022-40683

Schwachstelle in FortiWeb ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-22636

Schwachstelle in FortiWeb ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-23777

Schwachstelle in FortiWeb ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-23778

Schwachstelle in FortiWeb ermöglicht Ausspähen von Informationen

CVE-2023-23779

Schwachstelle in FortiWeb ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-23780

Schwachstelle in FortiWeb ermöglicht Privilegieneskalation

CVE-2023-23781

Schwachstelle in FortiWeb ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-23782

Schwachstelle in FortiWeb ermöglicht Privilegieneskalation

CVE-2023-23783

Schwachstelle in FortiWeb ermöglicht Ausführen beliebigen Programmcodes

CVE-2023-23784

Schwachstelle in FortiWeb ermöglicht Ausspähen von Informationen

CVE-2023-25602

Schwachstelle in FortiWeb ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.