Incluindo páginas de login, a Fortinet endereça falhas de XSS persistente dadas pelo CVE-2022-38374, cuja razão de ser estava na falta de validação ou sanitização do input.

Outra falha endereçada foi de injeção de comandos na linha de comandos - CVE-2022-33870, que permitia ao atacante executar comandos não autorizados via argumentos especialmente criados.

O vendor lançou atualizações também para credenciais em texto pleno presentes no FortiSIEM - problema esse que pode ser seguido pelo CVE-2022-26119

Solução

Consultar as páginas de advisory para os CVE's citados e atualizar conforme indicações

Problema das credenciais em texto pleno: https://www.fortiguard.com/psirt/FG-IR-22-064

Problema de XSS persistente: https://www.fortiguard.com/psirt/FG-IR-22-232

Problema da injeção de comandos: https://www.fortiguard.com/psirt/FG-IR-22-070

Lista de Advisories lançados pela Fortinet: https://www.fortiguard.com/psirt?date=11-2022