Компания Fortinet предупредила о критической ошибке безопасности, влияющей на ее программное обеспечение FortiClientEMS, которая может позволить злоумышленникам выполнять код в затронутых системах.
"Неправильная нейтрализация специальных элементов, используемых в уязвимости SQL-команды ("SQL-инъекция") [CWE-89] в FortiClientEMS, может позволить злоумышленнику, не прошедшему проверку подлинности, выполнять несанкционированный код или команды с помощью специально созданных запросов", - говорится в сообщении компании.
Уязвимость, отслеживаемая как CVE-2023-48788, имеет рейтинг CVSS 9,3 из максимально возможных 10. Она влияет на следующие версии -
Fortinet благодарит Тьяго Сантану из команды разработчиков ForticlientEMS и Национального центра кибербезопасности Великобритании (NCSC) за обнаружение уязвимости и сообщение о ней.
Компания также исправила две другие критические ошибки в FortiOS и FortiProxy (CVE-2023-42789 и CVE-2023-42790, оценки CVSS: 9.3), которые могли позволять злоумышленнику, имеющему доступ к закрытому порталу, выполнять произвольный код или команды с помощью специально созданных HTTP-запросов.
Указанные ниже версии продуктов имеют недостатки -
"Неправильная нейтрализация специальных элементов, используемых в уязвимости SQL-команды ("SQL-инъекция") [CWE-89] в FortiClientEMS, может позволить злоумышленнику, не прошедшему проверку подлинности, выполнять несанкционированный код или команды с помощью специально созданных запросов", - говорится в сообщении компании.
Уязвимость, отслеживаемая как CVE-2023-48788, имеет рейтинг CVSS 9,3 из максимально возможных 10. Она влияет на следующие версии -
- FortiClientEMS с 7.2.0 по 7.2.2 (обновление до 7.2.3 или выше)
- FortiClientEMS с 7.0.1 по 7.0.10 (обновление до 7.0.11 или выше)
Fortinet благодарит Тьяго Сантану из команды разработчиков ForticlientEMS и Национального центра кибербезопасности Великобритании (NCSC) за обнаружение уязвимости и сообщение о ней.
Компания также исправила две другие критические ошибки в FortiOS и FortiProxy (CVE-2023-42789 и CVE-2023-42790, оценки CVSS: 9.3), которые могли позволять злоумышленнику, имеющему доступ к закрытому порталу, выполнять произвольный код или команды с помощью специально созданных HTTP-запросов.
Указанные ниже версии продуктов имеют недостатки -
- FortiOS версий с 7.4.0 по 7.4.1 (обновление до FortiOS версии 7.4.2 или выше)
- FortiOS версий с 7.2.0 по 7.2.5 (обновление до FortiOS версии 7.2.6 или выше)
- FortiOS версий с 7.0.0 по 7.0.12 (обновление до FortiOS версии 7.0.13 или выше)
- FortiOS версий с 6.4.0 по 6.4.14 (обновление до FortiOS версии 6.4.15 или выше)
- FortiOS версий с 6.2.0 по 6.2.15 (обновление до FortiOS версии 6.2.16 или выше)
- FortiProxy версии 7.4.0 (Обновите до FortiProxy версии 7.4.1 или выше)
- FortiProxy версий с 7.2.0 по 7.2.6 (обновление до FortiProxy версии 7.2.7 или выше)
- FortiProxy версий с 7.0.0 по 7.0.12 (обновление до FortiProxy версии 7.0.13 или выше)
- FortiProxy версий с 2.0.0 по 2.0.13 (обновление до FortiProxy версии 2.0.14 или выше)
