Fortinet phát hành bản vá cho hai lỗ hổng nghiêm trọng trong FortiNAC và FortiWeb

Thứ năm, 25/05/2023 23:24

Fortinet vừa phát hành bản vá cho hai lỗ hổng nghiêm trọng định danh CVE-2022-39952 và CVE-2021-42756 ảnh hưởng đến các sản phẩm FortiNAC và FortiWeb của hãng.

20230614-h49.jpeg

Lỗ hổng đầu tiên có định danh CVE-2022-39952, có điểm CVSS 9,8. Đây là lỗ hổng trong quá trình kiểm soát bên ngoài tên hoặc đường dẫn tệp [CWE-73] trên máy chủ web FortiNAC, có thể cho phép kẻ tấn công chưa xác thực thực hiện ghi tùy ý trên hệ thống.

Lỗ hổng này ảnh hưởng tới FortiNAC phiên bản 9.4.0; FortiNAC phiên bản 9.2.0 đến 9.2.5; FortiNAC phiên bản 9.1.0 đến 9.1.7; FortiNAC 8.8 tất cả phiên bản; FortiNAC 8.7 tất cả phiên bản; FortiNAC 8.6 tất cả phiên bản; FortiNAC 8.5 tất cả phiên bản; FortiNAC 8.3 tất cả phiên bản.

Lỗ hổng đã được giải quyết trong phiên bản FortiNAC 9.4.1 trở lên, 9.2.6 trở lên, 9.1.8 trở lên và 7.2.0 trở lên.

Lỗ hổng thứ hai định danh CVE-2021-42756 có điểm CVSS 9,3 ảnh hưởng đến FortiWeb. Đây là lỗ hổng tràn bộ đệm [CWE-121] trong daemon proxy của FortiWeb, có thể cho phép kẻ tấn công từ xa chưa xác thực thực thi mã tùy ý thông qua các yêu cầu HTTP tự tạo.

Các sản phẩm bị ảnh hưởng bao gồm tất cả phiên bản FortiWeb 5.x, phiên bản 6.0.7 trở xuống, phiên bản 6.1.2 trở xuống, phiên bản 6.2.6 trở xuống, phiên bản 6.3.16 trở xuống và tất cả phiên bản 6.4.

Fortinet khuyến cáo khách hàng cập nhật FortiADC, FortiExtender, FortiOS, FortiProxy & FortiSwitchManager, FortiWAN, FortiAnalyzer, FortiAuthenticator, FortiPortal và FortiSandbox lên phiên bản mới nhất càng sớm càng tốt để tránh các rủi ro đáng tiếc.

banner
icon

Cổng dịch vụ công
Quốc Gia

Những thông tin thủ tục hành chính
khai báo online tại đây

Xem chi tiết icon
icon

Chính sách
pháp luật Việt Nam

Cập nhật thông tin, chính sách
pháp luật Việt Nam

Xem chi tiết icon

Cổng thông tin điện tử của các đơn vị thuộc Bộ

Doanh nghiệp

Top