شرکت Fortinet این هفته مجموعهای از بروزرسانیهای امنیتی ماهانه خود را اعلام کرد که ۹ آسیبپذیری در چندین محصول خود، ازجمله دو باگ بحرانی در FortiADC، FortiOS و FortiProxy را رفع میکند.
با توجه به اینکه یکی از آسیبپذیریها بر کنترل کننده دلیوری برنامه FortiADC تاثیر میگذار و شدیدترین نوع آنها نیز میباشد، تحت عنوان CVE-2023-27999 معرفی میشود و بهعنوان "خنثیسازی نادرست عناصر ویژه مورد استفاده در آسیبپذیری فرمان سیستم عامل" توصیف میشود.
یک مهاجم میتواند از طریق آرگومانهای دستکاری شده بهدستورات موجود از باگ، سواستفاده کند و به آنها اجازه دهد کامندهای غیرمجاز را اجرا کنند. برای سواستفاده از آسیبپذیری، مهاجم باید احراز هویت شود.
این مشکل بر نسخههای 7.2.0، 7.1.1 و 7.1.0 FortiADC تاثیر میگذارد و با انتشار نسخههای 7.2.1 و 7.1.2 FortiADC برطرف شده است.
دومین نقص با شدت بالا، CVE-2023-22640، بهعنوان یک نوشتن out-of-bound در کامپوننتهای sslvpnd FortiOS و FortiProxy توصیف شده است.