Fortinet 两款产品FortiTester和FortiADC中存在高危命令注入漏洞
编译:代码卫士
本周,网络安全解决方案提供商Fortinet 发布了产品中多个漏洞的补丁,并将FortiADC中的高危命令注入漏洞告知客户。该漏洞的编号是CVE-2022-39947,位于FortiADC web接口中,可导致任意代码执行后果。
Fortinet 公司解释称,“FortiADC中操作系统命令漏洞中使用的特殊元素中和不当,可导致能够访问 web GUI的认证攻击者通过特殊构造的HTTP请求执行越权代码或命令。”
Fortinet公司提到,该漏洞影响FortiADC 版本5.4.x、6.0.x、6.1.x、6.2.x和7.0.x,将在FortiADC 6.2.4和7.0.2中修复。
Fortinet 公司还发布了FortiTester 中多个高危命令注入漏洞的补丁。这些漏洞被统称为 CVE-2022-35845(CVSS评分7.6),是对特殊元素的中和不当问题,可导致在底层shell中执行任意命令。利用该漏洞要求认证。Fortinet 公司指出,该问题影响FortiTester 版本2.x.x、3.x.x、4.x.x、7.x 和7.1.0,已在FortiTester 版本3.9.2、4.2.1、7.1.1和7.2.0中修复。
本周,Fortinet 公司还修复了其它三个中危漏洞,它们是位于FortiManager 中的用户管理不正确问题,可导致FortiGate 中的无密码管理员后果;FortiPortal 中的输入中和不当漏洞,可导致XSS;以及FortiWeb中的CRLF序列中和不当导致任意标头注入欧国。
Fortinet 公司并未提到这些漏洞已遭利用。
Fortinet 修复6个高危漏洞
Fortinet:立即修复这个严重的认证绕过漏洞!
Fortinet 修复多个路径遍历漏洞
黑客利用老旧安全缺陷攻破数万未打补丁的 Fortinet VPN 设备
https://www.securityweek.com/high-severity-command-injection-flaws-found-fortinets-fortitester-fortiadc
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。