Krytyczna luka w FortiProxy umożliwiająca wykonanie nieautoryzowanego kodu
Krytyczna luka w FortiProxy umożliwia wykonanie nieautoryzowanego kodu przez specjalnie spreparowane żądania HTTP. Sprawdź zalecenia bezpieczeństwa.
- CVSS
- 9.8 CRITICAL
- EPSS
- 86.94%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- fortiproxy
Co wiadomo
W Fortinet FortiOS i FortiProxy wykryto błąd zapisu poza zakresem pamięci, który pozwala na wykonanie nieautoryzowanych poleceń poprzez specjalnie spreparowane żądania HTTP. Luka dotyczy wielu wersji oprogramowania, w tym FortiOS 6.2.0–7.4.1 oraz FortiProxy 2.0.0–7.4.0.
Wpływ biznesowy
Eksploatacja tej luki może prowadzić do przejęcia kontroli nad urządzeniem sieciowym, co zagraża integralności i dostępności infrastruktury IT. Atakujący mogą wykonywać dowolny kod, co stwarza ryzyko poważnych naruszeń bezpieczeństwa i przerw w działaniu usług. Operatorzy powinni traktować tę lukę jako krytyczną i priorytetowo podejść do jej eliminacji.
Rekomendowane działania administratora
Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji bezpieczeństwa u producenta Fortinet i ich wdrożenie. W międzyczasie ograniczyć ekspozycję urządzeń na nieznane źródła ruchu HTTP, monitorować logi pod kątem podejrzanych aktywności oraz przeprowadzić ocenę ryzyka i priorytetyzację działań naprawczych.