{
  "document" : {
    "aggregate_severity" : {
      "text" : "hoch"
    },
    "category" : "csaf_base",
    "csaf_version" : "2.0",
    "distribution" : {
      "tlp" : {
        "label" : "WHITE",
        "url" : "https://www.first.org/tlp/"
      }
    },
    "lang" : "de-DE",
    "notes" : [ {
      "category" : "legal_disclaimer",
      "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen."
    }, {
      "category" : "description",
      "text" : "FortiSwitch bezeichnet die Ethernet Switch Produktfamilie von Fortinet.",
      "title" : "Produktbeschreibung"
    }, {
      "category" : "summary",
      "text" : "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Fortinet FortiSwitch ausnutzen, um beliebigen Programmcode auszuführen.",
      "title" : "Angriff"
    }, {
      "category" : "general",
      "text" : "- Sonstiges",
      "title" : "Betroffene Betriebssysteme"
    } ],
    "publisher" : {
      "category" : "other",
      "contact_details" : "csaf-provider@cert-bund.de",
      "name" : "Bundesamt für Sicherheit in der Informationstechnik",
      "namespace" : "https://www.bsi.bund.de"
    },
    "references" : [ {
      "category" : "self",
      "summary" : "WID-SEC-W-2025-0069 - CSAF Version",
      "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2025/wid-sec-w-2025-0069.json"
    }, {
      "category" : "self",
      "summary" : "WID-SEC-2025-0069 - Portal Version",
      "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2025-0069"
    }, {
      "category" : "external",
      "summary" : "FortiGuard PSIRT Advisory FG-IR-23-260 vom 2025-01-14",
      "url" : "https://www.fortiguard.com/psirt/FG-IR-23-260"
    }, {
      "category" : "external",
      "summary" : "FortiGuard PSIRT Advisory FG-IR-23-258 vom 2025-01-14",
      "url" : "https://www.fortiguard.com/psirt/FG-IR-23-258"
    } ],
    "source_lang" : "en-US",
    "title" : "Fortinet FortiSwitch: Mehrere Schwachstellen ermöglichen Codeausführung",
    "tracking" : {
      "current_release_date" : "2025-01-14T23:00:00.000+00:00",
      "generator" : {
        "date" : "2025-01-15T10:13:19.003+00:00",
        "engine" : {
          "name" : "BSI-WID",
          "version" : "1.3.10"
        }
      },
      "id" : "WID-SEC-W-2025-0069",
      "initial_release_date" : "2025-01-14T23:00:00.000+00:00",
      "revision_history" : [ {
        "date" : "2025-01-14T23:00:00.000+00:00",
        "number" : "1",
        "summary" : "Initiale Fassung"
      } ],
      "status" : "final",
      "version" : "1"
    }
  },
  "product_tree" : {
    "branches" : [ {
      "branches" : [ {
        "branches" : [ {
          "category" : "product_version_range",
          "name" : "<7.0.8",
          "product" : {
            "name" : "Fortinet FortiSwitch <7.0.8",
            "product_id" : "T029761"
          }
        }, {
          "category" : "product_version",
          "name" : "7.0.8",
          "product" : {
            "name" : "Fortinet FortiSwitch 7.0.8",
            "product_id" : "T029761-fixed",
            "product_identification_helper" : {
              "cpe" : "cpe:/h:fortinet:fortiswitch:manager_7.0.8"
            }
          }
        }, {
          "category" : "product_version_range",
          "name" : "<7.4.1",
          "product" : {
            "name" : "Fortinet FortiSwitch <7.4.1",
            "product_id" : "T040146"
          }
        }, {
          "category" : "product_version",
          "name" : "7.4.1",
          "product" : {
            "name" : "Fortinet FortiSwitch 7.4.1",
            "product_id" : "T040146-fixed",
            "product_identification_helper" : {
              "cpe" : "cpe:/h:fortinet:fortiswitch:7.4.1"
            }
          }
        }, {
          "category" : "product_version_range",
          "name" : "<7.2.6",
          "product" : {
            "name" : "Fortinet FortiSwitch <7.2.6",
            "product_id" : "T040147"
          }
        }, {
          "category" : "product_version",
          "name" : "7.2.6",
          "product" : {
            "name" : "Fortinet FortiSwitch 7.2.6",
            "product_id" : "T040147-fixed",
            "product_identification_helper" : {
              "cpe" : "cpe:/h:fortinet:fortiswitch:7.2.6"
            }
          }
        }, {
          "category" : "product_version_range",
          "name" : "<6.4.14",
          "product" : {
            "name" : "Fortinet FortiSwitch <6.4.14",
            "product_id" : "T040148"
          }
        }, {
          "category" : "product_version",
          "name" : "6.4.14",
          "product" : {
            "name" : "Fortinet FortiSwitch 6.4.14",
            "product_id" : "T040148-fixed",
            "product_identification_helper" : {
              "cpe" : "cpe:/h:fortinet:fortiswitch:6.4.14"
            }
          }
        }, {
          "category" : "product_version_range",
          "name" : "<6.2.8",
          "product" : {
            "name" : "Fortinet FortiSwitch <6.2.8",
            "product_id" : "T040149"
          }
        }, {
          "category" : "product_version",
          "name" : "6.2.8",
          "product" : {
            "name" : "Fortinet FortiSwitch 6.2.8",
            "product_id" : "T040149-fixed",
            "product_identification_helper" : {
              "cpe" : "cpe:/h:fortinet:fortiswitch:6.2.8"
            }
          }
        } ],
        "category" : "product_name",
        "name" : "FortiSwitch"
      } ],
      "category" : "vendor",
      "name" : "Fortinet"
    } ]
  },
  "vulnerabilities" : [ {
    "cve" : "CVE-2023-37936",
    "notes" : [ {
      "category" : "description",
      "text" : "Es existiert eine Schwachstelle in Fortinet FortiSwitch. Diese besteht aufgrund der Verwendung eines fest codierten kryptografischen Schlüssels. Ein entfernter, anonymer, der im Besitz des Schlüssels ist, kann diese Schwachstelle ausnutzen, um um über manipulierte kryptografische Anfragen nicht autorisierten Code auszuführen."
    } ],
    "product_status" : {
      "known_affected" : [ "T029761", "T040149", "T040148", "T040147", "T040146" ]
    },
    "release_date" : "2025-01-14T23:00:00.000+00:00",
    "title" : "CVE-2023-37936"
  }, {
    "cve" : "CVE-2023-37937",
    "notes" : [ {
      "category" : "description",
      "text" : "Es existiert eine Schwachstelle in Fortinet FortiSwitch. Die Ursache ist eine unsachgemäße Neutralisierung spezieller Elemente, die in einem OS-Befehl verwendet werden. Ein lokaler Angreifer kann diese Schwachstelle ausnutzen, um nicht autorisierten Code über die FortiSwitch-CLI auszuführen."
    } ],
    "product_status" : {
      "known_affected" : [ "T029761", "T040149", "T040148", "T040147", "T040146" ]
    },
    "release_date" : "2025-01-14T23:00:00.000+00:00",
    "title" : "CVE-2023-37937"
  } ]
}