Fortinet a révélé une faille de gravité critique affectant FortiOS et FortiProxy, permettant à un attaquant distant d’exécuter du code arbitraire sur les appareils vulnérables.
« Une vulnérabilité de type débordement de pile [CWE-124] dans FortiOS & FortiProxy peut permettre à un attaquant distant d’exécuter un code arbitraire ou une commande via des paquets élaborés atteignant des politiques de proxy ou des politiques de pare-feu avec le mode proxy en même temps que l’inspection approfondie des paquets SSL », prévient Fortinet dans un nouvel avis.
L’avis de Fortinet précise que les produits FortiOS des branches 6.0, 6.2, 6.4, 2.x, et 1.x ne sont pas impactés par la CVE-2023-33308.
Plus de 300 000 firewalls Fortinet sont vulnérables au bogue critique FortiOS RCE.
Fortinet corrige une faille critique d’exécution de commande à distance dans FortiNAC.
VMware met en garde contre une faille critique de vRealize exploitée dans des attaques.