CVE-2023-33308

FortiOS és FortiProxy sérülékenysége
Angol cím: FortiOS and FortiProxy vulnerability

Publikálás dátuma: 2023.07.11.
Utolsó módosítás dátuma: 2023.07.11.


Leírás

Puffer aláírás (‘Buffer Underflow’): A termék egy olyan indexet vagy mutatót használva ír a pufferbe, amely a puffer kezdete előtti memóriahelyre hivatkozik.

Leírás forrása: CWE-124


Elemzés leírás

A stack-based overflow vulnerability [CWE-124] in FortiOS & FortiProxy may allow a remote attacker to execute arbitrary code or command via crafted packets reaching proxy policies or firewall policies with proxy mode alongside SSL deep packet inspection.


Hatás

CVSS3.1 Súlyosság és Metrika

Base score: 9.8 (Kritikus)
Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Impact Score: 5.9
Exploitability Score: 3.9


Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): High

Következmények

Loss of integrity (Sértetlenség elvesztése)

Hivatkozások

fortiguard.com

Sérülékeny szoftverek

FortiOS 7.2.0 - 7.2.3 verziók
FortiOS 7.0.0 - 7.0.10 verziók
FortiProxy 7.2.0 - 7.2.2 verziók
FortiProxy 7.0.0 - 7.0.9 verziók

Nem érintettek:
FortiOS 6.4
FortiOS 6.2
FortiOS 6.0
FortiProxy 2.x
FortiProxy 1.x


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-9968 – ASUS Armoury Crate sérülékenysége
CVE-2025-9337 – ASUS Armoury Crate sérülékenysége
CVE-2025-9336 – ASUS Armoury Crate sérülékenysége
CVE-2025-47827 – IGEL OS Use of a Key Past its Expiration Date sérülékenysége
CVE-2025-24990 – Microsoft Windows Untrusted Pointer Dereference sérülékenysége
CVE-2025-59230 – Microsoft Windows Improper Access Control sérülékenysége
CVE-2025-6264 – Rapid7 Velociraptor Incorrect Default Permissions sérülékenysége
CVE-2016-7836 – SKYSEA Client View Improper Authentication sérülékenysége
CVE-2025-7330 – Rockwell NAT CSRF sérülékenysége
Tovább a sérülékenységekhez »