Tech

Fortinet alerta sobre vulnerabilidade grave de SQLi no software FortiClientEMS

Photo of LifeTechWeb LifeTechWebMarch 15, 2024
0 1 minute read
fortinet
Software FortiClientEMS

A Fortinet alertou sobre uma falha crítica de segurança que afeta seu software program FortiClientEMS e que pode permitir que invasores executem códigos nos sistemas afetados.

“Uma neutralização inadequada de elementos especiais usados ​​​​em uma vulnerabilidade de comando SQL ('SQL Injection') (CWE-89) no FortiClientEMS pode permitir que um invasor não autenticado execute códigos ou comandos não autorizados por meio de solicitações especificamente criadas”, disse a empresa em um comunicado.

A vulnerabilidade, rastreada como CVE-2023-48788, carrega uma classificação CVSS de 9,3 em um máximo de 10. Ela afeta as seguintes versões –

  • FortiClientEMS 7.2.0 a 7.2.2 (atualização para 7.2.3 ou superior)
  • FortiClientEMS 7.0.1 a 7.0.10 (atualização para 7.0.11 ou superior)

Horizon3.ai, que planos para liberar detalhes técnicos adicionais e uma exploração de prova de conceito (PoC) na próxima semana, disse que a lacuna poderia ser explorada para obter execução remota de código como SYSTEM no servidor.

A Fortinet deu crédito a Thiago Santana, da equipe de desenvolvimento do ForticlientEMS e do Centro Nacional de Segurança Cibernética do Reino Unido (NCSC), por descobrir e relatar a falha.

Também foram corrigidos pela empresa dois outros bugs críticos no FortiOS e FortiProxy (CVE-2023-42789 e CVE-2023-42790, pontuações CVSS: 9.3) que poderiam permitir que um invasor com acesso ao portal cativo executasse códigos ou comandos arbitrários by way of especialmente solicitações HTTP elaboradas.

As versões do produto abaixo são afetadas pelas falhas –

  • FortiOS versão 7.4.0 a 7.4.1 (atualização para FortiOS versão 7.4.2 ou superior)
  • FortiOS versão 7.2.0 a 7.2.5 (atualização para FortiOS versão 7.2.6 ou superior)
  • FortiOS versão 7.0.0 a 7.0.12 (atualização para FortiOS versão 7.0.13 ou superior)
  • FortiOS versão 6.4.0 a 6.4.14 (atualização para FortiOS versão 6.4.15 ou superior)
  • FortiOS versão 6.2.0 a 6.2.15 (atualização para FortiOS versão 6.2.16 ou superior)
  • FortiProxy versão 7.4.0 (atualização para FortiProxy versão 7.4.1 ou superior)
  • FortiProxy versão 7.2.0 a 7.2.6 (atualização para FortiProxy versão 7.2.7 ou superior)
  • FortiProxy versão 7.0.0 a 7.0.12 (atualização para FortiProxy versão 7.0.13 ou superior)
  • FortiProxy versão 2.0.0 a 2.0.13 (atualização para FortiProxy versão 2.0.14 ou superior)

Embora não haja evidências de que as falhas acima mencionadas tenham sido exploradas ativamente, os dispositivos Fortinet sem correção têm sido repetidamente abusados ​​por agentes de ameaças, tornando imperativo que os usuários ajam rapidamente para aplicar as atualizações.

Tags
Photo of LifeTechWeb LifeTechWebMarch 15, 2024
0 1 minute read
Photo of LifeTechWeb

LifeTechWeb

Related Articles

AI content creation platform

Perplexity Pages leva a criação de conteúdo de IA a um novo nível

June 1, 2024
MiniCPM 2B small powerful LLM AI

MiniCPM 2B pequeno, mas poderoso modelo de linguagem grande (LLM)

February 12, 2024
An artificial intelligence manipulating words generated with Midjourney

25 escritos ChatGPT versus testes de IA indetectáveis ​​(até que ponto ele contorna a detecção)

February 4, 2024
Alex Mc futuristic digital billboards ar 169 f3808544 7ec2 4728 9f02 37607bf06e7f 3

5 melhores empresas de publicidade em outdoors digitais (março de 2024)

March 26, 2024

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button