Kriittinen haavoittuvuus FortiNAC -tuotteessa
Haavoittuvuus10/2023CVSS 9.8CVE-2023-33299 (Ulkoinen linkki)
Fortinetin on julkaissut FortiNAC -tuotteeseen päivityksen, jotka korjaavat kriittiseksi luokitellun haavoittuvuuden. Haavoittuvuutta hyväksikäyttämällä hyökkääjä voi suorittaa mielivaltaisia komentoja tai koodia tcp/1050 palveluun erityisesti muodostetun pyynnön kautta. Fortinet suosittelee päivittämään haavoittuvat tuotteet pikaisesti.
CVE-2023-33299 deserialisointi-haavoittuvuus (CWE-502) [1] antaa tunnistamattomalle käyttäjälle mahdollisuuden suorittaa luvatonta koodia tai komentoja tcp/1050-palveluun kohdistettujen, erityisesti muotoiltujen pyyntöjen avulla.
Kohde
- Verkon aktiivilaitteet
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
- Ilman kirjautumista
Vaikutukset
- Komentojen mielivaltainen suorittaminen
Hyväksikäyttömenetelmä tiedossa
- Ei julkaistu
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvuuden kohde
FortiNAC-versiot 9.4.0 - 9.4.2
FortiNAC versiot 9.2.0 - 9.2.7
FortiNAC-versiot 9.1.0 - 9.1.9
FortiNAC-versiot 7.2.0 - 7.2.1
FortiNAC 8.8, kaikki versiot
FortiNAC 8.7, kaikki versiot
FortiNAC 8.6, kaikki versiot
FortiNAC 8.5, kaikki versiot
FortiNAC 8.3, kaikki versiot
Mistä on kysymys?
FortiNAC 9.4.3 tai tätä uudempaan
FortiNAC 9.2.8 tai tätä uudempaan
FortiNAC 9.1.10 tai tätä uudempaan
FortiNAC 7.2.2 tai tätä uudempaan
Mitä voin tehdä?
Haavoittuvuuden kuvausta päivitetty. Lisätty linkki CWE-502 heikkouden kuvaukseen.