FortiADC: inyección de comandos en el módulo de automatización/webhook.
Una neutralización inadecuada de elementos especiales utilizados en una vulnerabilidad de comando del sistema operativo [CWE-78] en la interfaz de administración de FortiADC puede permitir que un atacante autenticado ejecute comandos no autorizados a través de argumentos específicamente diseñados para comandos existentes (CVE-2022-35849).

FortiOS y FortiProxy: XSS almacenado en la página de administración de invitados.
Una neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ('Cross-site Scripting') [CWE-79] en FortiOS y FortiProxy GUI puede permitir que un atacante autenticado desencadene la ejecución de código JavaScript malicioso a través de una configuración de administración de invitados diseñada (CVE-2023-29183).

FortiWeb: protecciones insuficientes contra XSS y CSRF.
Una vulnerabilidad de falla en el mecanismo de protección [CWE-693] en FortiWeb puede permitir a un atacante eludir las protecciones XSS y CSRF (CVE-2023-34984).

FortiADC, versiones:

• 7.1.0 a 7.1.1
• 7.0.0 a 7.0.3
• 6.2.0 a 6.2.5
• 6.1.0 todas las versiones

FortiProxy, versiones:

• 7.2.0 a 7.2.4
• 7.0.0 a 7.0.10

FortiOS, versiones:

• 7.2.0 a 7.2.4
• 7.0.0 a 7.0.11
• 6.4.0 a 6.4.12
• 6.2.0 a 6.2.14

FortiWeb, versiones:

• 7.2.0 a 7.2.1
• 7.0.0 a 7.0.6
• 6.4 todas las versiones
• 6.3 todas las versiones

Actualizar FortiADC a versión:

• 7.1.2 o superior
• 7.0.4 o superior
• 6.2.6 o superior

Actualizar FortiProxy a versión:

• 7.2.5 o superior
• 7.0.11 o superior

Actualizar FortiOS a versión:

• 7.4.0 o superior
• 7.2.5 o superior
• 7.0.12 o superior
• 6.4.13 o superior
• 6.2.15 o superior

Actualizar FortiWeb a versión:

• 7.2.2 o superior
• 7.0.7 o superior

Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es