Fortinet FortiADC 命令注入漏洞(CVE-2022-39947)安全风险通告

admin 2023年1月9日21:19:14安全漏洞评论21 views1414字阅读4分42秒阅读模式
Fortinet FortiADC 命令注入漏洞(CVE-2022-39947)安全风险通告

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




安全通告



Fortinet(飞塔)是一家全球知名的网络安全产品和安全解决方案提供商,其产品包括防火墙、防病毒软件、入侵防御系统和终端安全组件等。FortiADC是Fortinet公司的一款应用交付控制器。FortiADC能够优化企业应用交付的可靠性,用户体验,性能和扩展力。FortiADC的硬件产品能够为企业应用提供快速、安全和智能的应用加速和按需分发。

近日,奇安信CERT监测到Fortinet官方发布FortiADC命令注入漏洞(CVE-2022-39947)通告,由于FortiADC web界面中存在对特殊元素的不当中和,经过身份认证的远程攻击者可通过构造特制的HTTP请求,最终在目标机器上执行任意命令。鉴于此漏洞影响范围较大,建议客户尽快做好自查,及时更新至最新版本。


漏洞名称

FortiADC命令注入漏洞

公开时间

2023-01-03

更新时间

2023-01-09

CVE编号

CVE-2022-39947

其他编号

QVD-2023-1263

CNNVD-202301-132

威胁类型

命令执行

技术类型

OS命令注入

厂商

Fortinet

产品

FortiADC

风险等级

奇安信CERT风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

未发现

未发现

未发现

未公开

漏洞描述

FortiADC存在命令注入漏洞,由于FortiADC web界面中存在对特殊元素的不当中和,经过身份认证的远程攻击者可通过构造特制的HTTP请求,最终在目标机器上执行任意命令。

影响版本

7.0.0 <= FortiADC <= 7.0.1

6.2.0 <= FortiADC <= 6.2.3

6.1.0 <= FortiADC <= 6.1.6

6.0.0 <= FortiADC <= 6.0.4

5.4.0 <= FortiADC <= 5.4.5

不受影响版本

FortiADC >= 7.0.2

FortiADC >= 6.2.4

FortiADC >= 5.4.6

其他受影响组件



威胁评估

漏洞名称

FortiADC命令注入漏洞

CVE编号

CVE-2022-39947

其他编号

QVD-2023-1263

CNNVD-202301-132

CVSS 3.1评级

高危

CVSS 3.1分数

8.8

CVSS向量

访问途径(AV

攻击复杂度(AC

网络

所需权限(PR

用户交互(UI

低权限

不需要

影响范围(S

机密性影响(C

不改变

完整性影响(I

可用性影响(A

危害描述

经过身份认证的远程攻击者,可在FortiADC web界面上通过构造特制的HTTP请求,最终在目标机器上执行任意命令。



处置建议

目前 Fortinet官方已发布安全版本修复该漏洞,建议受影响用户尽快更新至对应的安全版本。

FortiADC >= 7.0.2
FortiADC >= 6.2.4
FortiADC >= 5.4.6

下载地址:

https://www.fortinet.com/cn/support/product-downloads



参考资料

[1]https://www.fortiguard.com/psirt/FG-IR-22-061


时间线

2023年1月9日,奇安信 CERT发布安全风险通告。


点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情

原文始发于微信公众号(奇安信 CERT):Fortinet FortiADC 命令注入漏洞(CVE-2022-39947)安全风险通告

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月9日21:19:14
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Fortinet FortiADC 命令注入漏洞(CVE-2022-39947)安全风险通告 https://cn-sec.com/archives/1508302.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: