11 lutego 2025 r. firma Fortinet opublikowała ostrzeżenia dotyczące bezpieczeństwa w celu rozwiązania luk w zabezpieczeniach wielu produktów. Obejmowały one aktualizacje dla następujących systemów:
• FortiOS 7.6 — wersja 7.6.0
• FortiOS 7.4 — wersje od 7.4.0 do 7.4.4
• FortiOS 7.2 — wersje od 7.2.0 do 7.2.9 i wersje od 7.2.4 do 7.2.8
• FortiOS 7.0 — wersje od 7.0.0 do 7.0.15
• FortiOS 6.4 — wszystkie wersje
• FortiPortal 7.4 — wersja od 7.4.0 do 7.4.2
• FortiPortal 7.2 — wersja od 7.2.0 do 7.2.6
• FortiPortal 7.0 — wersja od 7.0.0 do 7.0.11
| Produkt | FortiPortal 7.4.0 do 7.4.2 FortiPortal 7.2.0 do 7.2.6 FortiPortal 7.0.0 do 7.0.11 |
| Numer CVE | CVE-2025-24470 |
| Krytyczność | 8.1/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N/E:P/RL:X/RC:C |
| Opis | Luka w zabezpieczeniach FortiPortal związana z nieprawidłowym rozwiązaniem równoważności ścieżki może umożliwić zdalnemu, niezweryfikowanemu atakującemu pobranie kodu źródłowego dzięki odpowiednio spreparowanych żądań HTTP. |
| Aktualizacja | TAK |
| Link | https://www.fortiguard.com/psirt/FG-IR-25-015 |
| Produkt | FortiOS 7.4.0 do 7.4.4 FortiOS 7.2.4 do 7.2.8 |
| Numer CVE | CVE-2024-35279 |
| Krytyczność | 7.7/10 |
| CVSS | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/E:P/RL:X/RC:C |
| Opis | Luka w zabezpieczeniach związana z przepełnieniem bufora stosu w kontroli CAPWAP systemu FortiOS może umożliwić zdalnemu, niezweryfikowanemu atakującemu wykonanie dowolnego kodu lub poleceń za pośrednictwem specjalnie spreparowanych pakietów UDP, pod warunkiem, iż atakujący był w stanie ominąć zabezpieczenia stosu systemu FortiOS, a usługa sieciowa działa na ujawnionym interfejsie. |
| Aktualizacja | TAK |
| Link | https://www.fortiguard.com/psirt/FG-IR-24-160 |
| Produkt | FortiOS 7.6.0 FortiOS 7.4.0 do 7.4.4 FortiOS 7.2.0 do 7.2.9 FortiOS 7.0.0 do 7.0.15 FortiOS 6.4 wszystkie wersje |
| Numer CVE | CVE-2024-40591 |
| Krytyczność | 8.0/10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:P/RL:X/RC:R |
| Opis | Luka w zabezpieczeniach FortiOS Security Fabric związana z nieprawidłowym przypisaniem uprawnień może umożliwić uwierzytelnionemu administratorowi, którego profil dostępu ma uprawnienia Security Fabric, rozszerzenie swoich uprawnień do uprawnień superadministratora poprzez połączenie docelowego urządzenia FortiGate ze złośliwym urządzeniem FortiGate kontrolowanym przez tego administratora. |
| Aktualizacja | TAK |
| Link | https://www.fortiguard.com/psirt/FG-IR-24-302 |
