CVE-2023-27997
CVE-2023-27997
En resumen
Una falla de desbordamiento de memoria en FortiOS y FortiProxy permite que un atacante remoto ejecute código malicioso mediante solicitudes especialmente diseñadas, sin necesidad de autenticación.
Detalle técnico
Desbordamiento de heap (CWE-122) en el componente SSL-VPN disparado por solicitudes remotas especialmente construidas permite ejecución arbitraria de código. Vector de ataque es a través de red sin autenticación requerida; afecta FortiOS versiones 7.2.4 y anteriores, 7.0.11 y anteriores, 6.4.12 y anteriores, 6.0.16 y anteriores, además de múltiples versiones de FortiProxy.
Resumen generado y traducido por IA a partir de la descripción oficial.
A heap-based buffer overflow vulnerability [CWE-122] in FortiOS version 7.2.4 and below, version 7.0.11 and below, version 6.4.12 and below, version 6.0.16 and below and FortiProxy version 7.2.3 and below, version 7.0.9 and below, version 2.0.12 and below, version 1.2 all versions, version 1.1 all versions SSL-VPN may allow a remote attacker to execute arbitrary code or commands via specifically crafted requests.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:F/RL:X/RC:R
PoCs públicas encontradas — 10
githubgithub.com/BishopFox/CVE-2023-27997-check★ 134githubgithub.com/lexfo/xortigate-cve-2023-27997★ 63githubgithub.com/rio128128/CVE-2023-27997-POC★ 27githubgithub.com/delsploit/CVE-2023-27997★ 9githubgithub.com/TechinsightsPro/ShodanFortiOS★ 2githubgithub.com/imbas007/CVE-2023-27997-Check★ 1githubgithub.com/onurkerembozkurt/fgt-cve-2023-27997-exploit★ 0githubgithub.com/puckiestyle/cve-2023-27997★ 0githubgithub.com/Cyb3rEnthusiast/CVE-2023-27997★ 0githubgithub.com/node011/CVE-2023-27997-POC★ 0⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →