Kriittinen haavoittuvuus FortiNAC -tuotteessa
Haavoittuvuus10/2023CVSS 9.8CVE-2023-33299 (Ulkoinen linkki)
Fortinetin on julkaissut FortiNAC -tuotteeseen päivityksen, jotka korjaavat kriittiseksi luokitellun haavoittuvuuden. Haavoittuvuutta hyväksikäyttämällä hyökkääjä voi suorittaa mielivaltaisia komentoja tai koodia tcp/1050 palveluun erityisesti muodostetun pyynnön kautta. Fortinet suosittelee päivittämään haavoittuvat tuotteet pikaisesti.
CVE-2023-33299 deserialisointi-haavoittuvuus (CWE-502) [1] antaa tunnistamattomalle käyttäjälle mahdollisuuden suorittaa luvatonta koodia tai komentoja tcp/1050-palveluun kohdistettujen, erityisesti muotoiltujen pyyntöjen avulla.
Kohde
- Verkon aktiivilaitteet
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
- Ilman kirjautumista
Vaikutukset
- Komentojen mielivaltainen suorittaminen
Hyväksikäyttömenetelmä tiedossa
- Ei julkaistu
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvat ohjelmistot
FortiNAC-versiot 9.4.0 - 9.4.2
FortiNAC versiot 9.2.0 - 9.2.7
FortiNAC-versiot 9.1.0 - 9.1.9
FortiNAC-versiot 7.2.0 - 7.2.1
FortiNAC 8.8, kaikki versiot
FortiNAC 8.7, kaikki versiot
FortiNAC 8.6, kaikki versiot
FortiNAC 8.5, kaikki versiot
FortiNAC 8.3, kaikki versiot
Ratkaisu- ja rajoitusmahdollisuudet
FortiNAC 9.4.3 tai tätä uudempaan
FortiNAC 9.2.8 tai tätä uudempaan
FortiNAC 9.1.10 tai tätä uudempaan
FortiNAC 7.2.2 tai tätä uudempaan
Lisätietoja
Haavoittuvuuden kuvausta päivitetty. Lisätty linkki CWE-502 heikkouden kuvaukseen.