FortiOS ve FortiProxy’nin web SSL VPN arayüzündeki XSS [CWE-79] sırasında oluşan girdinin düzensiz şekilde etkisizleştirilmesi kimliği doğrulanmamış ve uzaktan bağlanan bir saldırganın, hedeflenen kullanıcıyı sosyal mühendislik yoluyla sunucusuna kötü amaçlı bir samba sunucusuna yer imi koyması için XSS saldırısı gerçekleştirmesine yol açabilir.

Etkilenen Versiyonlar

VERSİYON	ETKİLENEN	ÇÖZÜM
FortiOS 7.4	7.4.0 – 7.4.3 arası	7.4.4 veya üzeri sürüme güncelleyin
FortiOS 7.2	7.2.0 – 7.2.7 arası	7.2.8 veya üzeri sürüme güncelleyin
FortiOS 7.0	7.0.0 – 7.0.13 arası	7.0.14 veya üzeri sürüme güncelleyin
FortiOS 6.4	6.4 bütün sürümleri	Sabit bir sürüme geçiş yapın
FortiProxy 7.4	7.4.0 -7.4.3 arası	7.4.4 veya üzeri sürüme güncelleyin
FortiProxy 7.2	7.2.0 – 7.2.9 arası	7.2.10 veya üzeri sürüme güncelleyin
FortiProxy 7.0	7.0.0 – 7.0.16 arası	7.0.17 veya üzeri sürüme güncelleyin

Adresteki aracı kullanarak önerilen güncelleme yolunu izleyin: https://docs.fortinet.com/upgrade-tool

Geçici çözüm olarak:

SSL – VPN web mode kapatabilirsiniz.

Referans: https://www.fortiguard.com/psirt/FG-IR-23-485