Fortinet, farklı ürünlerde güvenlik kayıplarını kapatır

Dolandırıcı Bildirim

Bu makale bu nedenle İngilizce olarak mevcuttur. Yayınlamadan önce teknik yardım ve editoryal revizyon ile çevrildi.

.

Fortinet, çeşitli ürünler için güvenlik güncellemeleri yayınladı. Güvenlik boşlukları kapandı, bazıları kritik bir risk olarak sınıflandırıldı.

En ciddi olanı Forttiweb'de bir güvenlik açığıdır. Ağın gereksiz kullanıcıları zayıf bir SQL enjeksiyon noktasına saldırabilir, çünkü bazı öğeler bir SQL komutunda yeterince filtrelenmez. Sonuç olarak, saldırganlar dikkatlice hazırlanan HTTP veya HTTPS istekleri ile yetkisiz SQL kodunu veya kontrolleri girebilir (CVE-2025-25257, CVSS 9.6Risk “eleştirmen“).

Yüksek riskli boşluk

Fortivoice'de, saldırganlar HTTP/HTTPS istekleri veya erişim haklarıyla manipüle edilen komut satırı ile herhangi bir kod veya denetim girebilir. Komut satırı kontrollerine entegre edilmiş iki yerde bazı öğeler için yeterli filtre yoktur (CVE-2025-47856, CVSS 7.2Risk “yüksek“). Fortivoice 7.2.1, 7.0.7 ve 6.11 ve daha yeni sürümlerde, programcılar bu güvenlik boşluklarını kapattı.

Buna ek olarak, güvenlik geliştiricileri diğer Fortinet ürünlerinde bir şeyler bırakıyor. BT yöneticileri bunları derhal güncellemeleri kullanıp kullanmadıklarını kontrol etmelidir.

Fortinet Güvenlik İletişimi Riskle Sipariş:

  • SQL enjeksiyonu GUI (Fortiweb), CVE-2025-25257 / NO EUVD, CVSS 9.6Risk “eleştirmen
  • Komut Enjeksiyon Güvenlik Açığı (Fortiveice), CVE-2025-47856 / EUVD yok, CVSS 7.2Risk “yüksek
  • API üzerinden PKI: Gerçekleştirilmemiş bir sertifika (Fortios, Foriproxy), CVE-2024-52965 / NO EUVD, CVSS ile verilen kimlik doğrulama 6.8Risk “orta
  • Elimine Edilen Yönetici (Fortisandbox, Forteisolator), CVE-2024-27779 / NO EUVD, CVSS 6.3Risk “orta
  • DNS Type 65 Kaynak Kaynakları için İstekler DNS Filtresi (Fortios, Fortzoprxy), CVE-2024-5599 / NO EUVD, CVSS 4.9Risk “orta
  • CW_STAD Demon (Fortios), CVE-2025-24477 / NO EUVD, CVSS 4.0Risk “orta
  • Kayıt Bileşeninde (Forteisolator), CVE-2024-32124 / NO EUVD, CVSS 4.0Risk “orta
  • İleri modülde (Fortinalyzer (Cloud), FortimAnager (Cloud)), CVE-2025-24474 / NO EUVD, CVSS 2.6Risk “Bas

Geçen ay Fortinet, Fortiadc ve Fortiaos'taki güvenlik boşluklarını zaten doldurmuştu. Örneğin, VPN bileşiklerini yeniden yönlendirmeye izin verdiler. Fortinet tarafından karşılaşılan zayıflıkların hızlı bir şekilde onarılması tavsiye edilir, çünkü Fortinet ürünlerindeki güvenlik boşlukları genellikle BT suçlularının standart saldırı kutularına girer. Son zamanlarda doğada saldırıya uğrayan Fortivoice'de zayıf bir noktaya sahip olan budur.


(DMK)

Yayımlandı

kategorisi

yazarı:

admin

Etiketler:

Yorumlar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir