Home > Security Bulletins > Fortinet FortiADC Authenticated RCE en meer Fortinet Kwetsbaarheden

Fortinet FortiADC Authenticated RCE en meer Fortinet Kwetsbaarheden

2 High en 3 Medium kwetsbaarheden werden deze week aangekondigd door Fortinet

6 Januari 2023

FortiADC Geauthenticeerde RCE Kwetsbaarheid

Fortinet heeft een beveiligingsbulletin uitgebracht voor een authenticated remote code execution kwetsbaarheid in FortiADC.

CVE-2022-39947 (CVSS v3: 8.6 – Hoog) wordt veroorzaakt door onjuiste neutralisatie van speciale elementen en stelt geverifieerde externe aanvallers met toegang tot de web-GUI in staat willekeurige code uit te voeren via speciaal vervaardigde HTTP-verzoeken.

Betrokken Producten

FortiADC versie 7.0.0 tot en met 7.0.1
FortiADC versie 6.2.0 tot en met 6.2.3
FortiADC versie 5.4.0 tot en met 5.4.5
FortiADC alle versies 6.1
FortiADC alle versies 6.0

Beveiligingspatches

FortiADC 7.x moet worden geüpgraded naar 7.0.2 of hoger
FortiADC 6.x moet worden geüpgraded naar 6.2.4 of hoger
FortiADC 5.x krijgt binnenkort een upgrade voor 5.4.6

Meer Kwetsbaarheden

CVE-2022-35845 (CVSS v3: 7.6 – Hoog) – FortiTester – Meerdere kwetsbaarheden voor commando-injectie in GUI en API

CVE-2022-41336 (CVSS v3: 6.6 – Medium) – FortiPortal – XSS waargenomen bij beleidskolominstellingen

CVE-2022-45857 (CVSS v3: 6.0 – Medium) – FortiManager – Onjuist gedrag van gebruikersbeheer leidt tot beheerder zonder wachtwoord

FG-IR-22-250 (CVSS v3: 5.3 – Medium) – FortiWeb – header-injectie in FortiWeb API