9VSA22-00760-01 CSIRT comparte vulnerabilidades que afectan a FortiADC y FortiTester
Resumen
El CSIRT de Gobierno comparte información sobre vulnerabilidades recientemente dadas a conocer por Fortinet para sus productos FortiADC y FortiTester.
Vulnerabilidades
CVE-2022-39947
CVE-2022-35845
Impacto
Vulnerabilidades de riesgo alto
CVE-2022-39947: Una neutralización inapropiada de elementos especiales en una vulnerabilidad OS Command en FortiADC puede permitir a un atacante autenticado con acceso al GUI web ejecutar código no autorizado o comandos a través de solicitudes HTTP especialmente diseñados.
CVE-2022-35845: Varias neutralizaciones inapropiadas de elementos especiales usados en vulnerabilidades OS Command en FortiTester podría permitir a un atacante autenticado ejecutar comandos arbitrarios en la shell subyacente.
Productos afectados
FortiADC versión 7.0.0 a 7.0.2
FortiADC versión 6.2.0 a 6.2.3
FortiADC versión 6.1.0 a 6.1.6
FortiADC versión 6.0.0 a 6.0.4
FortiADC versión 5.4.0 a 5.4.5
FortiTester versión 7.1.0
FortiTester versión 7.0 todas
FortiTester versión 4.0.0 a 4.2.0
FortiTester versión 2.3.0 a 3.9.1
Mitigación
Instalar las respectivas actualizaciones entregadas por el proveedor.
Enlaces
https://www.fortiguard.com/psirt/FG-IR-22-061
https://www.fortiguard.com/psirt/FG-IR-22-274
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-39947
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-35845
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA22-00760-01.