Dolandırıcı Bildirim
Bu makale bu nedenle İngilizce olarak mevcuttur. Yayınlamadan önce teknik yardım ve editoryal revizyon ile çevrildi.
Bir daha gösterme.
Fortinet, çeşitli ürünler için güvenlik güncellemeleri yayınladı. Güvenlik boşlukları kapandı, bazıları kritik bir risk olarak sınıflandırıldı.
En ciddi olanı Forttiweb'de bir güvenlik açığıdır. Ağın gereksiz kullanıcıları zayıf bir SQL enjeksiyon noktasına saldırabilir, çünkü bazı öğeler bir SQL komutunda yeterince filtrelenmez. Sonuç olarak, saldırganlar dikkatlice hazırlanan HTTP veya HTTPS istekleri ile yetkisiz SQL kodunu veya kontrolleri girebilir (CVE-2025-25257, CVSS 9.6Risk “eleştirmen“).
Yüksek riskli boşluk
Fortivoice'de, saldırganlar HTTP/HTTPS istekleri veya erişim haklarıyla manipüle edilen komut satırı ile herhangi bir kod veya denetim girebilir. Komut satırı kontrollerine entegre edilmiş iki yerde bazı öğeler için yeterli filtre yoktur (CVE-2025-47856, CVSS 7.2Risk “yüksek“). Fortivoice 7.2.1, 7.0.7 ve 6.11 ve daha yeni sürümlerde, programcılar bu güvenlik boşluklarını kapattı.
Buna ek olarak, güvenlik geliştiricileri diğer Fortinet ürünlerinde bir şeyler bırakıyor. BT yöneticileri bunları derhal güncellemeleri kullanıp kullanmadıklarını kontrol etmelidir.
Fortinet Güvenlik İletişimi Riskle Sipariş:
Geçen ay Fortinet, Fortiadc ve Fortiaos'taki güvenlik boşluklarını zaten doldurmuştu. Örneğin, VPN bileşiklerini yeniden yönlendirmeye izin verdiler. Fortinet tarafından karşılaşılan zayıflıkların hızlı bir şekilde onarılması tavsiye edilir, çünkü Fortinet ürünlerindeki güvenlik boşlukları genellikle BT suçlularının standart saldırı kutularına girer. Son zamanlarda doğada saldırıya uğrayan Fortivoice'de zayıf bir noktaya sahip olan budur.
(DMK)
Ne yazık ki, bu bağlantı artık geçerli değil.
Boşa harcanan eşyalara olan bağlantılar, 7 günlük daha büyükse veya çok sık çağrılmışsa gerçekleşmez.
Bu makaleyi okumak için bir Haberler+ paketine ihtiyacınız var. Şimdi yükümlülük olmadan bir hafta deneyin – yükümlülük olmadan!
Bu makale bu nedenle İngilizce olarak mevcuttur. Yayınlamadan önce teknik yardım ve editoryal revizyon ile çevrildi.
Bir daha gösterme.
Fortinet, çeşitli ürünler için güvenlik güncellemeleri yayınladı. Güvenlik boşlukları kapandı, bazıları kritik bir risk olarak sınıflandırıldı.
En ciddi olanı Forttiweb'de bir güvenlik açığıdır. Ağın gereksiz kullanıcıları zayıf bir SQL enjeksiyon noktasına saldırabilir, çünkü bazı öğeler bir SQL komutunda yeterince filtrelenmez. Sonuç olarak, saldırganlar dikkatlice hazırlanan HTTP veya HTTPS istekleri ile yetkisiz SQL kodunu veya kontrolleri girebilir (CVE-2025-25257, CVSS 9.6Risk “eleştirmen“).
Yüksek riskli boşluk
Fortivoice'de, saldırganlar HTTP/HTTPS istekleri veya erişim haklarıyla manipüle edilen komut satırı ile herhangi bir kod veya denetim girebilir. Komut satırı kontrollerine entegre edilmiş iki yerde bazı öğeler için yeterli filtre yoktur (CVE-2025-47856, CVSS 7.2Risk “yüksek“). Fortivoice 7.2.1, 7.0.7 ve 6.11 ve daha yeni sürümlerde, programcılar bu güvenlik boşluklarını kapattı.
Buna ek olarak, güvenlik geliştiricileri diğer Fortinet ürünlerinde bir şeyler bırakıyor. BT yöneticileri bunları derhal güncellemeleri kullanıp kullanmadıklarını kontrol etmelidir.
Fortinet Güvenlik İletişimi Riskle Sipariş:
- SQL enjeksiyonu GUI (Fortiweb), CVE-2025-25257 / NO EUVD, CVSS 9.6Risk “eleştirmen“
- Komut Enjeksiyon Güvenlik Açığı (Fortiveice), CVE-2025-47856 / EUVD yok, CVSS 7.2Risk “yüksek“
- API üzerinden PKI: Gerçekleştirilmemiş bir sertifika (Fortios, Foriproxy), CVE-2024-52965 / NO EUVD, CVSS ile verilen kimlik doğrulama 6.8Risk “orta“
- Elimine Edilen Yönetici (Fortisandbox, Forteisolator), CVE-2024-27779 / NO EUVD, CVSS 6.3Risk “orta“
- DNS Type 65 Kaynak Kaynakları için İstekler DNS Filtresi (Fortios, Fortzoprxy), CVE-2024-5599 / NO EUVD, CVSS 4.9Risk “orta“
- CW_STAD Demon (Fortios), CVE-2025-24477 / NO EUVD, CVSS 4.0Risk “orta“
- Kayıt Bileşeninde (Forteisolator), CVE-2024-32124 / NO EUVD, CVSS 4.0Risk “orta“
- İleri modülde (Fortinalyzer (Cloud), FortimAnager (Cloud)), CVE-2025-24474 / NO EUVD, CVSS 2.6Risk “Bas“
Geçen ay Fortinet, Fortiadc ve Fortiaos'taki güvenlik boşluklarını zaten doldurmuştu. Örneğin, VPN bileşiklerini yeniden yönlendirmeye izin verdiler. Fortinet tarafından karşılaşılan zayıflıkların hızlı bir şekilde onarılması tavsiye edilir, çünkü Fortinet ürünlerindeki güvenlik boşlukları genellikle BT suçlularının standart saldırı kutularına girer. Son zamanlarda doğada saldırıya uğrayan Fortivoice'de zayıf bir noktaya sahip olan budur.
(DMK)
Ne yazık ki, bu bağlantı artık geçerli değil.
Boşa harcanan eşyalara olan bağlantılar, 7 günlük daha büyükse veya çok sık çağrılmışsa gerçekleşmez.
Bu makaleyi okumak için bir Haberler+ paketine ihtiyacınız var. Şimdi yükümlülük olmadan bir hafta deneyin – yükümlülük olmadan!