Fortinet 警告稱其產品的 FortiADC 應用程式交付控制器存在嚴重漏洞影響並多個版本,該漏洞編號為CVE-2022-39947,位於FortiADC web接口中,漏洞可導致任意程式碼執行。Fortinet在公告中表示,FortiADC操作系統命令漏洞中使用的特殊元素的不當中和可允許經過身份驗證的攻擊者存取 Web 界面以通過特製的 HTTP 請求執行未經授權的程式碼或命令,此漏洞的CVSS風險評分高達8.6,屬於高度風險。
Fortinet提到該漏洞由其內部產品安全團隊發現,並公布影響以下版本:
FortiADC 版本 7.0.0 到 7.0.1
FortiADC 版本 6.2.0 到 6.2.3
FortiADC 版本 5.4.0 到 5.4.5
FortiADC 所有版本 6.1
FortiADC 所有版本 6.0
官方已發布更新版本:
建議用戶將FortiADC版本6.0, 6.1 , 6.2.0 到 6.2.3升級到6.2.4或7.0.0 到 7.0.1升級到7.0.2以上版本;
另外,也即將推出的FortiADC 5.4.6 或以上版本以應對受影響的5.4.0 到 5.4.5版本
Fortinet在 1 月還發布了FortiTester 中的多個風險命令注入漏洞的修補,這些漏洞被統稱為CVE-2022-35845(CVSS風險評分高達7.6),這些漏洞可允許經過身份驗證的攻擊者在底層 shell 中執行任意命令,攻擊者可利用漏洞要求認證。據 Fortinet 稱,受影響的FortiTester 版本2.xx、3.xx、4.xx、7.x 和7.1.0,已在發布 FortiTester 版本 3.9.2、4.2.1、7.1.1 和 7.2.0時得到解決。
此外,Zoho本周也發布了一份安全公告,呼籲其用戶立即修補影響其三款ManageEngine產品( ManageEngine Password Manager Pro、PAM360 和 Access Manager Plus) 的SQL injection 高風險漏洞,漏洞編號為CVE-2022-47523,可授予攻擊者未經身份驗證的後端資料庫存取權限,並讓他們執行自訂義查詢以獲得對資料庫表中的條目的存取權限。據 Zoho稱,漏洞已通過添加適當的驗證和轉義特殊字符得到解決,強烈建議用戶立即升級到最新版本的 PAM360、Password Manager Pro 和 Access Manager Plus即Password Manager Pro 的12210版本、PAM360 版本 5801 和 Access Manager Plus的 4309 版本。
以上這兩家公司並未提到這些漏洞已遭利用。
“轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”