422/66 (IT) ประจำวันพุธที่ 20 กันยายน 2566
Fortinet ได้ออก Patch เพื่อแก้ไขช่องโหว่ Cross-site Scripting (XSS) ระดับ High-Severity ที่ส่งผลกระทบต่อ ผลิตภัณฑ์ FortiOS และ FortiProxy หลายเวอร์ชัน ที่หมายเลข CVE-2023-29183 (คะแนน CVSS 7.3) โดยที่ Fortinet กล่าวว่าการหากใช้ประโยชน์จากช่องโหว่ได้สำเร็จอาจทำให้ผู้โจมตีที่ได้รับการตรวจสอบสิทธิ์สามารถใช้การตั้งค่าการจัดการเพื่อสร้างการทำงานของโค้ด JavaScript ที่เป็นอันตราย ซึ่งช่องโหว่ดังกล่าวถูกตรวจพบโดยทีม CSE ของ Fortinet ทำให้ช่องโหว่ดังกล่าวส่งผลกระทบต่อ FortiProxy เวอร์ชัน 7.0.x และ 7.2.x และ FortiOS เวอร์ชัน 6.2.x, 6.4.x, 7.0.x และ 7.2.x และได้เปิดตัว FortiProxy เวอร์ชัน 7.0.11 และ 7.2.5 และ FortiOS เวอร์ชัน 6.2.15, 6.4.13, 7.0.12, 7.2.5 และ 7.4.0 เพื่อแก้ไขปัญหานี้
บริษัทยังได้ Patch สำหรับช่องโหว่ ระดับ High-Severity ในไฟร์วอลล์เว็บแอปพลิเคชันและโซลูชันการป้องกัน API FortiWeb ที่หมายเลข CVE-2023-34984 (คะแนน CVSS เท่ากับ 7.1) ช่องโหว่ดังกล่าวอาจทำให้ผู้โจมตีสามารถหลีกเลี่ยงการป้องกัน XSS ที่มีอยู่และ cross-site request forgery (CSRF) ช่องโหว่ดังกล่าวส่งผลกระทบต่อ FortiWeb เวอร์ชัน 6.3, 6.4, 7.0.x และ 7.2.x และได้รับการแก้ไขด้วยการเปิดตัว FortiWeb เวอร์ชัน 7.0.7 และ 7.2.2
หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) เตือนว่าหากการใช้ประโยชน์จากช่องโหว่เหล่านี้ได้สำเร็จอาจถูก compromise ทั้งระบบ และแนะนำให้ผู้ดูแลระบบตรวจสอบคำแนะนำของ Fortinet และควรทำการอัปเดตแก่อุปกรณ์โดยเร็วที่สุด