esenfrdeitptru

Vulnerabilidades alertadas a Fortinet

AS-003-2021

Fecha: 07/Enero/2021

 

Resumen:

La empresa Positive Technologies alertó a Fortinet sobre varias vulnerabilidades presentes en productos de la empresa.

Entre los productos afectados se encuentra Fortiweb, un WAF que permite mitigar ataques dirigidos a aplicativos web. Las vulnerabilidades detectadas son:

Unauth SQL Injection (CVE-2020-29015)

Unauth Buffer Overflow (CVE-2020-29016)

Unauth Buffer Overflow (CVE-2020-29019)

Format String (CVE-2020-29018)

Estas vulnerabilidades pueden ser ejecutadas de forma remota sin que un usuario tenga que autenticarse. Estos fallos de seguridad permiten tomar control del appliance y modificar las protecciones presentes. 

Es recomendable aplicar los parches liberados por el fabricante para mitigar este incidente.

 

Referencias:

https://www.fortiguard.com/psirt?date=01-2021

https://www.cybersecurity-help.cz/vdb/SB2021010515

https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-fortinet-fortiweb-could-allow-for-arbitrary-code-execution_2021-003/

 

AS-003-2021

Fecha: 07/Enero/2021

 

Resumen:

 

La empresa Positive Technologies alertó a Fortinet sobre varias vulnerabilidades presentes en productos de la empresa.

 

Entre los productos afectados se encuentra Fortiweb, un WAF que permite mitigar ataques dirigidos a aplicativos web. Las vulnerabilidades detectadas son:

 

  • Unauth SQL Injection (CVE-2020-29015)
  • Unauth Buffer Overflow (CVE-2020-29016)
  • Unauth Buffer Overflow (CVE-2020-29019)
  • Format String (CVE-2020-29018)

 

Estas vulnerabilidades pueden ser ejecutadas de forma remota sin que un usuario tenga que autenticarse. Estos fallos de seguridad permiten tomar control del appliance y modificar las protecciones presentes. 

 

Es recomendable aplicar los parches liberados por el fabricante para mitigar este incidente.

 

 

Referencias:

https://www.fortiguard.com/psirt?date=01-2021

https://www.cybersecurity-help.cz/vdb/SB2021010515

https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-fortinet-fortiweb-could-allow-for-arbitrary-code-execution_2021-003/