Una RCE da 9,6 è stata rilevata su FortiNAC. Installare le patch immediatamente

Redazione RHC : 23 Giugno 2023 13:00

È stata rilevata una vulnerabilità di tipo “java untrusted object deserialization RCE” sul prodotto di punta di Fortinet, FortiNAC. La vulnerabilità è monitorata con il codice CVE-2023-33299 che è stata valutata con 9,6 di score ed affligge molte versioni del prodotto.

Tale vulnerabilità è stata valutata come molto critica. Questo problema interessa una parte sconosciuta del componente Request Handler che sollecitato con un input anomalo consente lo sfruttamento di una vulnerabilità di deserializzazione. 

I prodotti affetti da questa vulnerabilità sono:

• FortiNAC version 9.4.0 through 9.4.2
• FortiNAC version 9.2.0 through 9.2.7
• FortiNAC version 9.1.0 through 9.1.9
• FortiNAC version 7.2.0 through 7.2.1
• FortiNAC 8.8 all versions
• FortiNAC 8.7 all versions
• FortiNAC 8.6 all versions
• FortiNAC 8.5 all versions
• FortiNAC 8.3 all versions

Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference.  Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.  Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.  Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Tale CVE è connessa al CWE-502. L’applicazione deserializza i dati non attendibili senza verificare sufficientemente che i dati risultanti siano validi con un impatto su riservatezza, integrità e disponibilità. 

Viene riportato che l’impatto della vulnerabilità è il seguente: “Una deserializzazione dei dati non attendibili in Fortinet FortiNAC consente all’attaccante di eseguire codice o comandi non autorizzati tramite una richiesta appositamente predisposta. Le versioni 8.x di FortiNAC non verranno corrette.”

La vulnerabilità è stata pubblicata in data 23/06/2023 con identificazione FG-IR-23-074. È possibile leggere l’avviso su fortiguard.com. L’identificazione di questa vulnerabilità è CVE-2023-33299 del 22/05/2023. 

L’aggiornamento alla versione 7.2.1, 9.2.8 o 9.4.3 elimina questa vulnerabilità.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli