A SonicWall július 12-én felszólította a Global Management System (GMS) ügyfeleit, hogy telepítsék a legújabb frissítéseket, amelyben 15 biztonsági hibát javítottak. A sérülékenységek kihasználása a hitelesítés megkerüléséhez és érzékeny információkhoz való hozzáféréshez vezethet.
A biztonsági hibák közül négyet kritikus, négyet magas, hetet pedig közepes súlyosságúnak minősítettek ─ a teljes lista a gyártói biztonsági közleményben, itt tekinthető meg. A sebezhetőségeket az NCC Group hozta nyilvánosságra, amelyek a GMS 9.3.2-SP1 (és korábbi), valamint az Analytics 2.5.0.4-R7 (és korábbi) verziókat érintik.
A hibajavítások a GMS 9.3.3 és az Analytics 2.5.2 verziókban érhetők el.
A kritikus hibák között található Web Service Authentication Bypass, SQL Injection probléma és biztonsági szűrő megkerülés, jelszóhash kiolvasás webszolgáltatáson keresztül és Cloud App Security (CAS) hitelesítés megkerülés.
A közzétételre a Fortinet a FortiOS-t és a FortiProxy-t érintő kritikus hiba (CVE-2023-33308, CVSS pontszám: 9.8) felfedésével egy időben került sor, amely lehetővé teheti a támadó számára, hogy bizonyos körülmények között távoli kódfuttatást érjen el. Az érintett termékek közé tartoznak a FortiOS 7.2.0-7.2.3 és 7.0.0-7.0.10, valamint a FortiProxy 7.2.0-7.2.2 és 7.0.0-7.0.9 verziói, de nem érinti a FortiOS 6.0, FortiOS 6.2, FortiOS 6.4, valamint a FortiProxy 1.x és FortiProxy 2.x verziókat.
A biztonsági rést javító verziók:
- FortiOS 7.4.0 vagy újabb,
- FortiOS 7.2.4 vagy újabb,
- FortiOS 7.0.11-es vagy újabb,
- FortiProxy 7.2.3 vagy újabb és
- FortiProxy 7.0.10 vagy újabb verziói.
A Fortinet azt javasolja azoknak az ügyfeleknek, akik nem tudják azonnal alkalmazni a frissítéseket, hogy tiltsák le a HTTP/2-t.
