Vulnerabilidad de inyección de comandos en módulo de recursos externos en FortiADC (CVE-2023-27999; 7.6).
Una neutralización incorrecta de elementos especiales utilizados en una vulnerabilidad de comando del sistema operativo [CWE-78] en FortiADC puede permitir que un atacante autenticado ejecute comandos no autorizados a través de argumentos diseñados específicamente para comandos existentes.

Vulnerabilidad de escritura fuera de límite en sslvpnd en FortiOS y FortiProxy (CVE-2023-22640; 7.1).
Una vulnerabilidad de escritura fuera de los límites [CWE-787] en sslvpnd de FortiOS y FortiProxy puede permitir que un atacante autenticado logre la ejecución de código arbitrario a través de solicitudes diseñadas específicamente.

• Actualice a FortiADC versión 7.2.1 o superior
• Actualice a FortiADC versión 7.1.2 o superior
• Actualice a FortiOS versión 7.4.0 o superior
• Actualice a FortiOS versión 7.2.4 o superior
• Actualice a FortiOS versión 7.0.11 o superior
• Actualice a FortiOS versión 6.4.12 o superior
• Actualice a FortiOS versión 6.2.14 o superior
• Actualice a FortiProxy versión 7.2.2 o superior
• Actualice a FortiProxy versión 7.0.8 o superior

Para la vulnerabilidad en FortiOS y FortiProxy, como solución alternativa, deshabilite "Comprobación de host", "Restringir a versiones específicas del sistema operativo" y "Comprobación de host de dirección MAC" en la configuración del portal sslvpn .

Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es