Fortinet ha publicado 4 nuevos avisos de seguridad que contemplan 4 vulnerabilidades de las cuales 3 son de severidad Alta y 1 de severidad Baja, estas vulnerabilidades afectan al producto FortiSandbox:
CVE-2023-41843 [CVSSv3: 7.3]
FortiSandbox: Cross Site Scripting (XSS) reflejado en el punto final de renderizado «file ondemand»
Una neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web («Cross-site Scripting») en FortiSandbox puede permitir que un atacante autenticado realice un ataque de cross-site scripting a través de solicitudes HTTP diseñadas.
CVE-2023-41682 [CVSSv3: 7.9]
FortiSandbox: eliminación arbitraria de archivos
Una limitación inadecuada de un nombre de ruta a una vulnerabilidad de directorio restringido (‘Path Traversal’) en FortiSandbox puede permitir que un atacante con pocos privilegios elimine archivos arbitrarios a través de solicitudes http manipuladas.
CVE-2023-41680 [CVSSv3: 7.3]
FortiSandbox: XSS al eliminar el punto final
Múltiples neutralizaciones inadecuadas de entradas durante la vulnerabilidad de generación de páginas web («Cross-site Scripting») en FortiSandbox pueden permitir que un atacante autenticado realice un ataque de cross-site scripting a través de solicitudes HTTP diseñadas.
CVE-2023-41836 [CVSSv3: 3.4]
FortiSandbox: secuencias de comandos entre sitios (XSS) reflejadas en el punto final de progreso de descarga
Mitigación
Se recomienda lo siguiente:
- Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
El listado de las CVE se adjunta a continuación:
