TLP:CLEAR PAP:WHITE
Avisos de seguridad de Fortinet - PSIRT
Descripción
FG-IR-23-273 FortiSandbox: Cross Site Scripting (XSS) reflejado en el punto final de renderizado "archivo bajo demanda".
Una neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ("Cross-site Scripting") [CWE-79] en FortiSandbox puede permitir que un atacante autenticado realice un ataque de cross-site scripting a través de solicitudes HTTP diseñadas.
CVE-2023-41843.
FG-IR-23-280 FortiSandbox: eliminación arbitraria de archivos.
Una limitación inadecuada de un nombre de ruta a una vulnerabilidad de directorio restringido ('Path Traversal') [CWE-22] en FortiSandbox puede permitir que un atacante con pocos privilegios elimine archivos arbitrarios mediante solicitudes http manipuladas.
CVE-2023-41682.
FG-IR-23-311 FortiSandbox: XSS al eliminar el punto final.
Múltiples neutralizaciones inadecuadas de entradas durante la vulnerabilidad de generación de páginas web ("Cross-site Scripting") [CWE-79] en FortiSandbox pueden permitir que un atacante autenticado realice un ataque de cross-site scripting a través de solicitudes HTTP diseñadas.
CVE-2023-41680.
Una neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web ("Cross-site Scripting") [CWE-79] en FortiSandbox puede permitir que un atacante autenticado realice un ataque de cross-site scripting a través de solicitudes HTTP diseñadas.
CVE-2023-41843.
FG-IR-23-280 FortiSandbox: eliminación arbitraria de archivos.
Una limitación inadecuada de un nombre de ruta a una vulnerabilidad de directorio restringido ('Path Traversal') [CWE-22] en FortiSandbox puede permitir que un atacante con pocos privilegios elimine archivos arbitrarios mediante solicitudes http manipuladas.
CVE-2023-41682.
FG-IR-23-311 FortiSandbox: XSS al eliminar el punto final.
Múltiples neutralizaciones inadecuadas de entradas durante la vulnerabilidad de generación de páginas web ("Cross-site Scripting") [CWE-79] en FortiSandbox pueden permitir que un atacante autenticado realice un ataque de cross-site scripting a través de solicitudes HTTP diseñadas.
CVE-2023-41680.
Productos afectados
FortiSandbox, viéndose afectadas las siguientes versiones según la CVE:
- Para CVE-2023-41843:
- versiones 4.4.0 a 4.4.1
- versiones 4.2.0 a 4.2.5
- versiones 4.0.0 a 4.0.3
- 3.2 todas las versiones
- 3.1 todas las versiones
- 3.0 todas las versiones
- 2.5 todas las versiones
- versión 2.4.1
- Para CVE-2023-41682:
- versión 4.4.0
- versiones 4.2.0 a 4.2.5
- versiones 4.0.0 a 4.0.3
- 3.2 todas las versiones
- 2.5 todas las versiones
- 2.4 todas las versiones
- Para CVE-2023-41680:
- versiones 4.4.0 a 4.4.1
- versiones 4.2.0 a 4.2.5
- versiones 4.0.0 a 4.0.3
- 3.2 todas las versiones
- 3.1 todas las versiones
- 3.0 todas las versiones
- 2.5 todas las versiones
- versión 2.4.1
Riesgo
Alto
Soluciones
Debe actualizarse FortiSandbox a sus últimas versiones, siendo las siguientes las recomendadas según la CVE que les afecta:
- Para CVE-2023-41843:
- versión 4.4.2 o superior
- versión 4.4.2 o superior
- versión 4.0.4 o superior
- Para CVE-2023-41682:
- versión 4.4.2 o superior
- versión 4.2.6 o superior
- versión 4.0.4 o superior
- Para CVE-2023-41682:
- versión 4.4.2 o superior
- versión 4.4.2 o superior
- versión 4.0.4 o superior
Referencias
Contacto
Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es