网络安全公司Fortinet发布FortiNAC安全更新

网络安全公司 Fortinet 发布了安全更新,以解决 FortiNAC 和 FortiWeb 解决方案中的两个关键漏洞。

这两个漏洞被追踪为CVE-2022-39952和CVE-2021-42756,分别是Fortinet FortiNAC中文件名或路径的外部控制和FortiWeb代理守护进程中基于堆栈的缓冲区溢出问题的集合。

CVE-2022-39952漏洞(CVSS 评分为 9.8)是 FortiNAC 的 keyUpload 脚本中的文件名或路径的外部控制。该漏洞是由 Fortinet 产品安全团队的 Gwendal Guégniaud 在内部发现并报告的。

“FortiNAC 网络服务器中的文件名或路径漏洞 [CWE-73] 的外部控制 可能允许未经身份验证的攻击者在系统上执行任意写入。”。

受影响的产品有:

FortiNAC 版本 9.4.0
FortiNAC 版本 9.2.0 到 9.2.5
FortiNAC 版本 9.1.0 到 9.1.7
FortiNAC 8.8 所有版本
FortiNAC 8.7 所有版本
FortiNAC 8.6 所有版本
FortiNAC 8.5 所有版本
FortiNAC 8.3 所有版本

CVE-2022-39952 漏洞已在 FortiNAC 9.4.1 及更高版本、9.2.6 及更高版本、9.1.8 及更高版本以及 7.2.0 及更高版本中修复。

第二个漏洞,跟踪为CVE-2021-42756(CVSS v3 得分为 9.3),影响 FortiWeb。该问题由 Fortinet 产品安全团队的 Giuseppe Cocomazzi 在内部发现并报告。

“FortiWeb 代理守护程序中的多个基于堆栈的缓冲区溢出漏洞 [CWE-121] 可能允许未经身份验证的远程攻击者通过特制的 HTTP 请求实现任意代码执行”,该公告写道。

受影响的产品为FortiWeb版本5.x所有版本、6.0.7及以下版本、6.1.2及以下版本、6.2.6及以下版本、6.3.16及以下版本、6.4所有版本。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/4133.html

标签