Cloud Networks • Новости • Fortinet исправляет критические недостатки RCE в FortiNAC и FortiWeb
pic011
21.02.2023

Fortinet исправляет критические недостатки RCE в FortiNAC и FortiWeb

Компания Fortinet выпустила обновления безопасности для своих продуктов FortiNAC и FortiWeb, устраняющие две критически важные уязвимости, которые могут позволить злоумышленникам, не прошедшим проверку подлинности, выполнить произвольный код или команду.

 

Первая уязвимость, влияющая на FortiNAC, отслеживается как CVE-2022-39952 и имеет оценку CVSS v3 9,8 (критическая).

FortiNAC — это решение для управления доступом к сети, которое помогает организациям получать информацию о сети в режиме реального времени, применять политики безопасности, а также обнаруживать и устранять угрозы.

Внешний контроль над именем файла или уязвимостью пути на веб-сервере FortiNAC может позволить злоумышленнику, не прошедшему проверку подлинности, выполнить произвольную запись в системе.

Продукты, затронутые этим недостатком:

  • FortiNAC версии 9.4.0
  • FortiNAC версий с 9.2.0 по 9.2.5
  • FortiNAC версий с 9.1.0 по 9.1.7
  • FortiNAC 8.8 все версии
  • FortiNAC 8.7 все версии
  • FortiNAC 8.6 все версии
  • FortiNAC 8.5 все версии
  • FortiNAC 8.3 все версии

Уязвимость CVE-2022-39952 устранена в FortiNAC 9.4.1 и выше, 9.2.6 и выше, 9.1.8 и выше, 7.2.0 и выше.

 

Вторая уязвимость, затрагивающая FortiWeb, — это CVE-2021-42756 , которая имеет оценку CVSS v3 9,3 (критическая).

FortiWeb — это брандмауэр веб-приложений (WAF), предназначенный для защиты веб-приложений и API от межсайтового скриптинга (XSS), SQL-инъекций, бот-атак, DDoS (распределенный отказ в обслуживании) и других онлайн-угроз.

Множественные уязвимости переполнения буфера на основе стека в прокси-демоне FortiWeb могут позволить удаленному злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код с помощью специально созданных HTTP-запросов.

CVE-2021-42756 влияет на следующие версии:

  • FortiWeb версии 5.x все версии
  • FortiWeb версии 6.0.7 и ниже
  • FortiWeb версии 6.1.2 и ниже
  • FortiWeb версии 6.2.6 и ниже
  • FortiWeb версии 6.3.16 и ниже
  • FortiWeb версии 6.4 все версии

Чтобы устранить эту уязвимость, администраторы должны выполнить обновление до FortiWeb 7.0.0 или более поздней версии, 6.3.17 или более поздней версии, 6.2.7 или более поздней версии, 6.1.3 или более поздней версии и 6.0.8 или более поздней версии.

 

Как ни странно, идентификатор CVE указывает на то, что уязвимость была обнаружена в 2021 году, но до сих пор не была обнародована. Применение доступных обновлений безопасности — единственный способ устранить риски.

Мы не передадим ваши данные третьим лицам и не будем донимать спамом
О нас
Решения
Блог
+7 (495) 255-06-30
info@cloudnetworks.ru
ООО «Облачные сети»
г. Москва, Сущевский вал, 18, этаж 15
Политика конфиденциальностиАнтикоррупционная политика
to-top