查看原文
其他

Fortinet 两款产品FortiTester和FortiADC中存在高危命令注入漏洞

Ionut Arghire 代码卫士 2023-01-05

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士



本周,网络安全解决方案提供商Fortinet 发布了产品中多个漏洞的补丁,并将FortiADC中的高危命令注入漏洞告知客户。该漏洞的编号是CVE-2022-39947,位于FortiADC web接口中,可导致任意代码执行后果。



Fortinet 公司解释称,“FortiADC中操作系统命令漏洞中使用的特殊元素中和不当,可导致能够访问 web GUI的认证攻击者通过特殊构造的HTTP请求执行越权代码或命令。”

Fortinet公司提到,该漏洞影响FortiADC 版本5.4.x、6.0.x、6.1.x、6.2.x和7.0.x,将在FortiADC 6.2.4和7.0.2中修复。

Fortinet 公司还发布了FortiTester 中多个高危命令注入漏洞的补丁。这些漏洞被统称为 CVE-2022-35845(CVSS评分7.6),是对特殊元素的中和不当问题,可导致在底层shell中执行任意命令。利用该漏洞要求认证。Fortinet 公司指出,该问题影响FortiTester 版本2.x.x、3.x.x、4.x.x、7.x 和7.1.0,已在FortiTester 版本3.9.2、4.2.1、7.1.1和7.2.0中修复。

本周,Fortinet 公司还修复了其它三个中危漏洞,它们是位于FortiManager 中的用户管理不正确问题,可导致FortiGate 中的无密码管理员后果;FortiPortal 中的输入中和不当漏洞,可导致XSS;以及FortiWeb中的CRLF序列中和不当导致任意标头注入欧国。

Fortinet 公司并未提到这些漏洞已遭利用。



代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读
Fortinet 紧急修复已遭利用的VPN漏洞
Fortinet 修复6个高危漏洞
Fortinet:立即修复这个严重的认证绕过漏洞!
Fortinet 修复多个路径遍历漏洞
黑客利用老旧安全缺陷攻破数万未打补丁的 Fortinet VPN 设备



原文链接

https://www.securityweek.com/high-severity-command-injection-flaws-found-fortinets-fortitester-fortiadc


题图:Pexels License‍



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存