-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Kwetsbaarheden verholpen in FortiOS en FortiProxy
Advisory ID : NCSC-2023-0176
Versie : 1.00
Kans : medium
CVE ID : CVE-2022-41330, CVE-2022-43947, CVE-2023-22641
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: https://cve.mitre.org/cve/)
Schade : high
Cross-Site Scripting (XSS)
Manipulatie van gegevens
Omzeilen van beveiligingsmaatregel
Uitgiftedatum : 20230412
Toepassing : Fortinet FortiProxy
Versie(s) :
Platform(s) : Fortinet FortiOS
Beschrijving
Fortinet heeft kwetsbaarheden verholpen in FortiOS en FortiProxy.
Een kwaadwillende met toegang tot de management-interface kan de
kwetsbaarheid met kenmerk CVE-2022-41330 misbruiken voor het
uitvoeren van een Cross-Site-scripting-aanval (XSS). Een dergelijke
aanval kan leiden tot uitvoer van willekeurige code in de context
van de browser van het slachtoffer.
De kwetsbaarheid met kenmerk CVE-2022-43947 kan worden misbruikt
voor het uitvoeren van brute-force-aanvallen op de
management-interface. Hiervoor dient de kwaadwillende voorafgaande
authenticatie te hebben.
Het is niet ondenkbaar dat deze kwetsbaarheden in een keten kunnen
worden uitgevoerd.
Mogelijke oplossingen
Fortinet heeft updates uitgebracht om de kwetsbaarheden te verhelpen
in FortiOS en FortiProxy. Voor meer informatie, zie:
https://fortiguard.fortinet.com/psirt/FG-IR-22-363
https://fortiguard.fortinet.com/psirt/FG-IR-22-444
https://fortiguard.fortinet.com/psirt/FG-IR-22-479
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8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=DYCI
-----END PGP SIGNATURE-----
