Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Deserialización de objetos no confiables en FortiNAC de Fortinet

Fecha de publicación 27/06/2023
Identificador

INCIBE-2023-0240

Importancia
5 - Crítica
Recursos Afectados

Productos FortiNAC: 

  • versión 9.4.0 a 9.4.2;
  • versión 9.2.0 a 9.2.7; 
  • versión 9.1.0 a 9.1.9;
  • versión 7.2.0 a 7.2.1;
  • 8.8 todas las versiones;
  • 8.7 todas las versiones;
  • 8.6 todas las versiones;
  • 8.5 todas las versiones;
  • 8.3 todas las versiones.
Descripción

Florian Hauser, de CODE WHITE, ha notificado una vulnerabilidad de severidad critica que podría permitir a una atacante, no autenticado, ejecutar códigos o comandos no autorizados.

Solución

Actualizar a las siguientes versiones:

9.4.3 o superior;
9.2.8 o superior;
9.1.10 o superior;
7.2.2 o superior.

Detalle

La vulnerabilidad de severidad crítica detectada de tipo deserialización de datos no confiables podría permitir a un atacante, no autenticado, ejecutar códigos o comandos, no autorizados, a través de solicitudes diseñadas específicamente para el servicio tcp/1050. 

Se ha asignado el identificador CVE-2023-33299 para esta vulnerabilidad.