2025-0638: FortiNet FortiWeb OS, FortiOS: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2025-03-12 12:46)

Neues Advisory

Version 2 (2025-03-14 08:13)

FortiGuard Labs PSIRT hat das Advisory FG-IR-23-115 aktualisiert und hat die FortiWeb Version 7.4.7 veröffentlicht, um die Schwachstellen CVE-2023-42784 und CVE-2024-55594 zu beheben.

Betroffene Software

Sicherheit
Systemsoftware

Betroffene Plattformen

Netzwerk
FortiNet

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Sicherheitsvorkehrungen zu umgehen und beliebigen Programmcode auszuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich.

Die fehlerbereinigten Versionen von FortiOS sind 6.4.16, 7.0.16, 7.2.10, 7.4.5 oder neuere. Für FortiWeb wurden die Versionen 7.0.11, 7.2.11 (beide nur für CVE-2024-45324), 7.4.6 sowie 7.6.1 (beide für CVE-2024-45324 und CVE-2024-55597) veröffentlicht, wobei die Schwachstellen CVE-2023-42784 und CVE-2024-55594 nicht explizit geschlossen wurden, sondern eine Mitigation auf eine Version des Versionszweigs 7.6 empfohlen wird.

Schwachstellen:

CVE-2024-45324

Schwachstelle in FortiNet FortiWeb OS und FortiOS ermöglicht Ausführen beliebigen Programmcodes

CVE-2024-55594 CVE-2023-42784

Schwachstellen in FortiNet FortiWeb OS ermöglichen Umgehen von Sicherheitsvorkehrungen

CVE-2024-55597

Schwachstelle in FortiNet FortiWeb OS ermöglicht u. a. Manipulation von Dateien

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.