Sintesi
Rilevate nuove vulnerabilità in vari prodotti, di cui quattro con gravità “alta” . Tali vulnerabilità potrebbero permettere l’accesso a informazioni sensibili, l’esecuzione di comandi arbitrari e la possibilità di elevare i privilegi utente sui sistemi interessati.
Nota: il vendor afferma che la vulnerabilità CVE-2025-24472 risulta essere sfruttata attivamente in rete.
Rischio
Stima d’impatto della vulnerabilità sulla comunità di riferimento: Critico (77.05)
Tipologia
- Arbitrary Code Execution
- Information Disclosure
- Privilege Escalation
Prodotti e versioni affette
- FortiPortal 7.0.x, dalla versione 7.0.0 alla 7.0.11
- FortiPortal 7.2.x, dalla versione 7.2.0 alla 7.2.6
- FortiPortal 7.4.x, dalla versione 7.4.0 alla 7.4.2
- FortiOS 6.4.x
- FortiOS 7.0.x, dalla versione 7.0.0 alla 7.0.16
- FortiOS 7.2.x, dalla versione 7.2.0 alla 7.2.9
- FortiOS 7.4.x, dalla versione 7.4.0 alla 7.4.4
- FortiOS 7.6.x
- FortiProxy 7.0.x, dalla versione 7.0.0 alla 7.0.19
- FortiProxy 7.2.x, dalla versione 7.2.0 alla 7.2.12
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si consiglia di applicare le mitigazioni seguendo le indicazioni dei bollettini di sicurezza disponibili nella sezione Riferimenti.
Infine, si raccomanda di valutare l’implementazione degli Indicatori di Compromissione (IoC)[1] riportati nei bollettini di sicurezza.
Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “alta”:
[1] Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.
Riferimenti
https://fortiguard.fortinet.com/psirt/FG-IR-24-302
https://fortiguard.fortinet.com/psirt/FG-IR-24-160
https://fortiguard.fortinet.com/psirt/FG-IR-24-535
https://fortiguard.fortinet.com/psirt/FG-IR-25-015
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.
