Đang tải

Đang tải

Bạn có biết không?

Chuyên phần mềm bản quyền

Fortinet vừa phát hành bản vá để giải quyết hai lỗ hổng nghiêm trọng CVE-2022-39952 và CVE-2021-42756 ảnh hưởng đến các sản phẩm FortiNAC và FortiWeb của hãng.

Lỗ hổng đầu tiên CVE-2022-39952 (điểm CVSS 9,8) là lỗi trong quá trình kiểm soát bên ngoài tên hoặc đường dẫn tệp [CWE-73] trên máy chủ web FortiNAC, có thể cho phép kẻ tấn công chưa xác thực thực hiện ghi tùy ý trên hệ thống.

Danh sách các phiên bản bị ảnh hưởng:

  • FortiNAC phiên bản 9.4.0
  • FortiNAC phiên bản 9.2.0 đến 9.2.5
  • FortiNAC phiên bản 9.1.0 đến 9.1.7
  • FortiNAC 8.8 tất cả phiên bản
  • FortiNAC 8.7 tất cả phiên bản
  • FortiNAC 8.6 tất cả phiên bản
  • FortiNAC 8.5 tất cả phiên bản
  • FortiNAC 8.3 tất cả phiên bản

Lỗ hổng đã được giải quyết trong phiên bản FortiNAC 9.4.1 trở lên, 9.2.6 trở lên, 9.1.8 trở lên và 7.2.0 trở lên.

Lỗ hổng thứ hai CVE-2021-42756 (điểm CVSS 9,3) ảnh hưởng đến FortiWeb. Đây là lỗi tràn bộ đệm [CWE-121] trong daemon proxy của FortiWeb, có thể cho phép kẻ tấn công từ xa chưa xác thực thực thi mã tùy ý thông qua các yêu cầu HTTP tự tạo.

Các sản phẩm bị ảnh hưởng bao gồm tất cả phiên bản FortiWeb 5.x, phiên bản 6.0.7 trở xuống, phiên bản 6.1.2 trở xuống, phiên bản 6.2.6 trở xuống, phiên bản 6.3.16 trở xuống và tất cả phiên bản 6.4.

Fortinet khuyến cáo khách hàng cập nhật FortiADC, FortiExtender, FortiOS, FortiProxy & FortiSwitchManager, FortiWAN, FortiAnalyzer, FortiAuthenticator, FortiPortal và FortiSandbox lên phiên bản mới nhất càng sớm càng tốt để giải quyết các rủi ro.

Theo Securityaffairs

Chia sẽ bài viết

Bài viết liên quan

Lỗ hổng nghiêm trọng trong Parse Serve

Parse Server - công cụ mã nguồn mở trong cơ s�...

Mã độc GuLoader sử dụng các kỹ thuật mới để trốn tránh phần mềm bảo mật

Mã độc GuLoader sử dụng các kỹ thu

Các chuyên gia an ninh mạng đã tiết lộ nhiề...

Tội phạm trực tuyến sử dụng trò

Tội phạm mạng đang tận dụng thảm họa nh�...

Leave a Comment