Fortinet çeşitli ürünlerdeki 11 güvenlik açığını kapattı

kapanış bildirimi

Bu makale İngilizce olarak da mevcuttur. Teknik yardımla tercüme edildi ve yayınlanmadan önce editoryal olarak gözden geçirildi.

.

Microsoft dünyasında “Patch Tuesday” veya kısaltılmış adıyla Patchday olarak bilinen ayın ikinci Salı günü Fortinet, çeşitli ürünlerdeki güvenlik açıklarıyla ilgili on bir bildirim yayınladı. Bunlardan ikisi kritik güvenlik açığı, biri ise yüksek riskli olarak değerlendiriliyor.

Duyurudan sonra devamını okuyun

Yetersiz erişim kontrolleri nedeniyle FortiAuthenticator'da kritik bir güvenlik açığı bulunmaktadır. Saldırganların önceden kimlik doğrulaması olmadan hazırlanmış istekleri kullanarak yetkisiz kod veya komutlar yürütmesine olanak tanır (CVE-2026-44277, CVSS) 9.1risk”eleştirmen“). FortiAuthenticator 6.5.7, 6.6.9 ve 8.0.3 ve sonraki sürümleri bu sorunu düzeltir. Hazırlanmış HTTP istekleri, saldırganların yetki eksikliği nedeniyle önceden erişim olmadan FortiSandbox, FortiSandbox Cloud ve FortiSandbox PaaS Web kullanıcı arayüzünde yetkisiz kod veya komutlar yürütmesine olanak tanır (CVE-2026-26083, CVSS) 9.1risk”eleştirmen“).

FortiOS CAPWAP arka plan programında, kimliği doğrulanmış FortiExtenders veya FortiAP FortiSwitch'lerin kontrolündeki saldırganlar, FortiGate cihazlarında yürütme ayrıcalıkları elde edebilir. Bunun nedeni, beklenen bellek sınırlarının dışındaki olası yazma erişimleridir. Ancak Fortinet bunların nasıl kışkırtılabileceğini açıklamıyor (CVE-2025-53844, CVSS) 8.3risk”yüksek“).

Fortinet: Orta düzeyde güvenlik açıkları

Fortinet ayrıca ek güvenlik açıklarına karşı da uyarıyor. Ciddiyete göre sıralanmış olup bunlar aşağıdaki gibidir:

  • İşletim sistemi komutlarını CLI'ye ekleme – FortiAP/FortiAP-W2 (CVE-2025-53870, CVSS) 6.5risk”orta“)
  • Yönetim portalına SQL komutları ekleme – FortiMail (CVE-2025-53681, CVSS) 6.3risk”orta“)
  • CLI'ye Komut Ekleme – FortiAP/FortiAP-W2 (CVE-2025-53680, CVSS) 6.1risk”orta“)
  • Sinyal yöneticisindeki güvenli olmayan işlev nedeniyle DoS – FortiAnalyzer, FortiManager (CVE-2025-67604, CVSS) 5.2risk”orta“)
  • Kullanıcı kontrollü SQL komutları – FortiNDR (CVE-2026-25088, CVSS 5.1risk”orta“)
  • Dışa aktarılan TokenContentProvider aracılığıyla OTP açıklaması – FortiTokenAndroid (CVE-2026-44279, CVSS) 5.0risk”orta“)
  • Yönetim arayüzünde okunan rastgele günlük dosyası – FortiDeceptor (CVE-2026-25690, CVSS) 4.0risk”orta“)
  • VPN'de kayıtlı şifreler için kullanılan sabit kodlu şifreleme anahtarı – FortiClientWindows (CVE-2026-44278, CVSS) 2.1risk”Bas“)

BT yöneticileri, savunmasız Fortinet cihazlarını dağıtıp dağıtmadıklarını değerlendirmeli ve mevcut güncellemeleri zamanında uygulamalıdır.

Duyurudan sonra devamını okuyun

Nisan ayındaki Yama Günü itibarıyla Fortinet hâlâ 18 güvenlik açığını gidermişti. Geliştiriciler ayrıca bunlardan bazılarını kritik risk olarak sınıflandırmıştır. Fortinet doğrudan ağlara bağlı olduğundan yazılımdaki güvenlik açıkları suçlular için popüler bir hedeftir. Nisan ayı başında saldırganlar FortiClient EMS'deki kritik bir güvenlik açığına saldırdı.


(Bilmiyorum)

Yayımlandı

kategorisi

yazarı:

admin

Etiketler:

Yorumlar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir