网络安全解决方案公司 Fortinet 已发布其 FortiNAC 和 FortiWeb 产品的安全更新,解决了两个可能允许未经身份验证的攻击者执行任意代码或命令执行的严重漏洞。
影响 FortiNAC 的第一个缺陷被跟踪为 CVE-2022-39952,其 CVSS v3 得分为 9.8(严重)。
FortiNAC 是一种网络访问控制解决方案,可帮助组织获得实时网络可见性、实施安全策略以及检测和缓解威胁。
“FortiNAC 网络服务器中的文件名或路径漏洞 [CWE-73] 的外部控制可能允许未经身份验证的攻击者在系统上执行任意写入,”安全公告中写道。
受此漏洞影响的产品有:
- FortiNAC 版本 9.4.0
- FortiNAC 版本 9.2.0 到 9.2.5
- FortiNAC 版本 9.1.0 到 9.1.7
- FortiNAC 8.8 所有版本
- FortiNAC 8.7 所有版本
- FortiNAC 8.6 所有版本
- FortiNAC 8.5 所有版本
- FortiNAC 8.3 所有版本
CVE-2022-39952 漏洞已在 FortiNAC 9.4.1 及更高版本、9.2.6 及更高版本、9.1.8 及更高版本以及 7.2.0 及更高版本中修复。
影响 FortiWeb 的第二个漏洞是 CVE-2021-42756,其 CVSS v3 得分为 9.3(严重)。
FortiWeb 是一种网络应用程序防火墙 (WAF) 解决方案,旨在保护网络应用程序和 API 免受跨站点脚本 (XSS)、SQL 注入、机器人攻击、DDoS(分布式拒绝服务)和其他在线威胁。
“FortiWeb 的代理守护程序中的多个基于堆栈的缓冲区溢出漏洞 [CWE-121] 可能允许未经身份验证的远程攻击者通过特制的 HTTP 请求执行任意代码,”Fortinet 的公告描述道。
CVE-2021-42756 影响以下版本:
- FortiWeb 版本 5.x 所有版本
- FortiWeb 6.0.7 及以下版本
- FortiWeb 6.1.2 及以下版本
- FortiWeb 6.2.6 及以下版本
- FortiWeb 6.3.16 及以下版本
- FortiWeb 版本 6.4 所有版本
为解决该缺陷,管理员应升级到 FortiWeb 7.0.0 或更高版本、6.3.17 或更高版本、6.2.7 或更高版本、6.1.3 或更高版本以及 6.0.8 或更高版本。
奇怪的是,CVE ID 表明该漏洞是在 2021 年发现的,但直到现在才公开披露。
供应商未针对这两个缺陷提供缓解建议或解决方法,因此应用可用的安全更新是解决风险的唯一方法。
如若转载,请注明出处:https://www.ozabc.com/it/534848.html