Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos Fortinet

Fecha de publicación 12/04/2023
Identificador

INCIBE-2023-0137

Importancia
5 - Crítica
Recursos Afectados

FortiPresence, versiones:

  • todas las versiones 1.2;
  • todas las versiones 1.1;
  • todas las versiones 1.0.

El resto de productos afectados por vulnerabilidades no críticas se pueden consultar en April 2023 Vulnerability Advisories.

Descripción

Fortinet ha publicado 21 avisos: 1 de severidad crítica, 9 altos, 10 medios y 1 bajo. La vulnerabilidad crítica podría permitir a un atacante acceder a las instancias de Redis y MongoDB a través de solicitudes de autenticación falsificadas.

Solución

Fortinet recomienda actualizar a la versión 2.0.0 de FortiPresence para corregir la vulnerabilidad crítica.

Respecto al resto de vulnerabilidades no críticas, consultar la sección Solutions de cada aviso.

Detalle

La vulnerabilidad crítica se basa en la ausencia de autenticación para una función crítica [CWE-306] en el servidor de infraestructura FortiPresence. Un atacante, no autenticado, podría acceder a las instancias de Redis y MongoDB a través de solicitudes de autenticación falsificadas.

Adicionalmente, el fabricante ha publicado más avisos de seguridad no críticos que pueden consultarse en su página web.

Encuesta valoración

Listado de referencias
FortiPresence - Unpassworded remotely accessible Redis & MongoDB
April 2023 Vulnerability Advisories
Etiquetas