近日,国家信息安全漏洞库(CNNVD)收到关于FortiOS/FortiProxy安全漏洞(CNNVD-202307-1285、CVE-2023-33308)情况的报送。成功利用漏洞的攻击者,可在目标系统执行任意代码。FortiOS 7.2.0,7.2.3、FortiOS 7.0.0,7.0.10、FortiProxy 7.2.0,7.2.2、FortiProxy 7.0.0,7.0.9等版本均受此漏洞影响。目前,美国飞塔(Fortinet)官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。
一、漏洞介绍
FortiOS是美国飞塔(Fortinet)公司的一套专用于FortiGate网络安全平台上的操作系统。FortiProxy是美国飞塔(Fortinet)公司的一款高性能代理。远程攻击者通过构造能到达代理策略或具有代理模式的防火墙策略的伪造数据包,最终在目标系统执行任意代码。
二、危害影响
成功利用漏洞的攻击者,可向目标设备发送特殊请求,从而远程执行恶意代码。FortiOS 7.2.0,7.2.3、FortiOS 7.0.0,7.0.10、FortiProxy 7.2.0,7.2.2、FortiProxy 7.0.0,7.0.9等版本均受此漏洞影响。
三、修复建议
目前,目前,美国飞塔(Fortinet)官方已发布新版本修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。官方安全版本参考链接:
FortiOS升级
https://docs.fortinet.com/product/fortigate/7.4
FortiProxy升级
https://docs.fortinet.com/product/fortiproxy/7.2
本通报由CNNVD技术支撑单位——杭州安恒信息技术股份有限公司、博智安全科技股份有限公司、北京神州绿盟科技有限公司等技术支撑单位提供支持。
CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。联系方式: cnnvdvul@itsec.gov.cn
来源:CNNVD安全动态