Fortinet vừa tung bản cập nhật bảo mật vá 9 lỗ hổng trong nhiều sản phẩm, bao gồm hai lỗi nghiêm trọng trong FortiADC, FortiOS và FortiProxy.
Lỗ hổng nghiêm trọng nhất trong số này là CVE-2023-27999 ảnh hưởng đến bộ điều khiển phân phối ứng dụng FortiADC. Đây là lỗi vô hiệu hóa không đúng cách của các yếu tố đặc biệt được sử dụng trong lệnh của hệ điều hành cho phép tin tặc không cần được xác thực thực thi các lệnh trái phép.
Sự cố ảnh hưởng đến các phiên bản FortiADC 7.2.0, 7.1.1 và 7.1.0 và đã được giải quyết bằng việc phát hành phiên bản FortiADC 7.2.1 và 7.1.2.
Lỗ hổng nghiêm trọng thứ hai, CVE-2023-22640, là lỗi ghi ngoài giới hạn (out-of-bounds write) trong sslvpnd của FortiOS và FortiProxy, cho phép tin tặc được xác thực gửi các yêu cầu được tạo đặc biệt để thực thi mã tùy ý.
Lỗi này được xác định trong các phiên bản FortiOS 7.2.x, 7.0.x, 6.4.x 6.2.x và 6.0.x và FortiProxy phiên bản 7.2.x, 7.0.x, 2.0.x và 1.xx. Lỗ hổng đã được xử lý bằng việc phát hành các phiên bản FortiOS 7.4.0, 7.2.4, 7.0.11, 6.4.12 và 6.2.14 và các phiên bản FortiProxy 7.2.2 và 7.0.8.
Nguồn: Securityweek