2023-0530: FortiOS: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodeson von Privilegien
Historie:
- Version 1 (2023-03-08 17:39)
- Neues Advisory
- Version 2 (2023-03-13 10:27)
- Fortinet stellt die FortiOS Version 6.2.13 als Sicherheitsupdate zur Verfügung, um die Schwachstelle CVE-2023-25610 zu beheben. Dabei gibt der Hersteller an, dass die Schwachstelle auf einer Reihe von Hardware-Geräten lediglich für einen Denial-of-Service (DoS)-Angriff ausgenutzt werden kann.
- Version 3 (2023-03-14 16:52)
- Fortinet berichtet im PSIRT Blog, dass die Schwachstelle CVE-2022-41328 offenbar bereits aktiv ausgenutzt wird, wobei es sich aufgrund der Komplexität des Exploits wahrscheinlich um einen fortgeschrittenen Angreifer handelt.
Betroffene Software
Systemsoftware
Betroffene Plattformen
FortiNet
Beschreibung:
Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen und einen Denial-of-Service (DoS)-Angriff durchzuführen. Zudem kann ein Angreifer zwei Schwachstellen lokal ausnutzen, um Dateien zu manipulieren und Privilegien zu eskalieren.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.
Der Hersteller informiert über die Schwachstellen und gibt an, dass diese mit den FortiOS Versionen 6.4.12, 7.0.10 und 7.2.4 oder höher behoben werden.
Schwachstellen:
CVE-2022-41328
Schwachstelle in FortiOS ermöglicht Manipulation von DateienCVE-2022-41329
Schwachstelle in FortiOS ermöglicht Ausspähen von InformationenCVE-2022-42476
Schwachstelle in FortiOS ermöglicht PrivilegieneskalationCVE-2022-45861
Schwachstelle in FortiOS ermöglicht Denial-of-Service-AngriffCVE-2023-25610
Schwachstelle in FortiOS ermöglicht u. a. Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.