[資安通報] FG-IR-23-106 FortiOS & FortiProxy – Stored XSS in guest management page

又有資安漏洞揭發,有使用fortinet 的朋友記得抽空更新囉

摘要:FortiOS and FortiProxy GUI中網頁存在Cross-site Scripting(XSS)漏洞,經身分驗證的攻擊者透過傳送特製的訪客管理設置,使其觸發惡意JavaScript 代碼執行。
► CVE 編號:CVE-2023-29183
► 受影響廠商:Fortinet
► 受影響產品:
          ► FortiProxy 7.2.0 至 7.2.4版本受影響,升級至7.2.5以上版本修正
          ► FortiProxy 7.0.0 至 7.0.10版本受影響,升級至7.0.11以上版本修正
          ► FortiOS 升級至7.4.0以上版本修正
          ► FortiOS 7.2.x: 7.2.0 至 7.2.4 版本受影響,升級至7.2.5以上版本修正
          ► FortiOS 7.0.x: 7.0.0 至 7.0.11 版本受影響,升級至7.0.12以上版本修正
          ► FortiOS 6.4.x: 6.4.0 至 6.4.12 版本受影響,升級至6.4.13以上版本修正
          ► FortiOS 6.2.x: 6.2.0 至 6.2.14 版本受影響,升級至6.2.15以上版本修正
► 修補說明:Fortinet於 2023/09/01 發布此漏洞(詳細請參考:https://www.fortiguard.com/psirt/FG-IR-23-106

 

參考資料

CVE-2023-29183
https://www.cve.org/CVERecord?id=CVE-2023-29183

FortiOS – Buffer overflow in execute extender command

► 摘要:FortiOS 存在堆疊型緩衝區溢位漏洞(CWE-121: Stack-based Buffer Overflow),經身分驗證的攻擊者透過特製 CLI 繞過 FortiOS 防護機制以執行任意程式碼。
► CVE 編號:CVE-2023-29182
► 受影響廠商:Fortinet
► 受影響產品:
           ► FortiOS 7.0.0 – 7.0.3(含)以前版本
           ► FortiOS 6.4 所有版本
           ► FortiOS 6.2 所有版本
► 修補說明:Fortinet 於 2023/08/17 更新此漏洞(詳細請參考:https://www.fortiguard.com/psirt/FG-IR-23-149

參考資料

►      CVE-2023-29182
https://www.cve.org/CVERecord?id=CVE-2023-29182



本篇瀏覽人數: 933
分類: 資安公告, 資訊安全相關。這篇內容的永久連結

在〈[資安通報] FG-IR-23-106 FortiOS & FortiProxy – Stored XSS in guest management page〉中有 1 則留言

  1. 虔誠表示:

    感謝榮哥提醒

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *