Vulnerabilidades de inyección de comandos y acceso no autorizado en Fortinet

05/01/2023 Noticias 0

Se ha reportado un nuevo aviso de seguridad sobre cinco vulnerabilidades que afectan a productos de Fortinet, que permitirían a un atacante realizar inyección de comandos, obtener acceso no autorizado, entre otros. 

Las vulnerabilidades reportadas se componen de 2 (dos) de severidad “Alta” y 3 (tres) de severidad “Media”. Las principales se detallan a continuación: 

  • CVE-2022-39947, de severidad “Alta”, con puntuación de 8.8. Esta vulnerabilidad se debe a una falla de seguridad en el control de ejecución de comandos de sistema operativo en FortiADC. Esto permitiría a un atacante autenticado con acceso a la GUI web ejecutar códigos o comandos no autorizados a través de solicitudes HTTP especialmente diseñadas. 
  • CVE-2022-35845, de severidad “Alta”, con puntuación de 7.8. Esta vulnerabilidad se debe a una falla de seguridad en el control de ejecución de comandos de sistema operativo en FortiTester. Esto permitiría a un atacante autenticado realizar ejecución de comandos arbitrarios en el sistema afectado. 
  • CVE-2022-41336, de severidad “Media”, con puntuación de 6.8. Esta vulnerabilidad se debe a la validación incorrecta de datos de entrada de la página web en la interfaz de administración de FortiPortal. Esto permitiría a un atacante remoto autenticado realizar ataques del tipo Cross-site scripting (XSS) mediante el envío de una solicitud especialmente diseñada. 

Para visualizar la lista completa de las vulnerabilidades puede ingresar al siguiente enlace

Algunos productos afectados son:  

  • FortiADC versión 7.0.0 al 7.0.2 
  • FortiADC versión 6.2.0 al 6.2.3 
  • FortiTester versión 7.1.0 
  • FortiTester todas las versiones 7.0 

Para visualizar el listado completo de productos afectados puede ingresar en el siguiente enlace

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante los siguientes enlaces: 

Referencias: 

Compartir: