遵纪守法
任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益
漏洞描述
该漏洞存在于Fortinet FortiNAC keyUpload 中,是一个脚本外部控制漏洞,未经身份验证的远程攻击者可以通过特制的 HTTP 请求执行任意代码。
风险等级
高
影响版本
FortiNAC :9.4.0、9.2.5、9.2.4、9.2.3、9.2.2、9.2.1、9.2.0、9.1.7、9.1.6、9.1.5、9.1.4、9.1.3、 9.1.2、9.1.1、9.1.0、8.8.9、8.8.8、8.8.7、8.8.6、8.8.5、8.8.4、8.8.3、8.8.2、8.8.11、8.8。10, 8.8.1, 8.8.0, 8.7.6, 8.7.5, 8.7.4, 8.7.3, 8.7.2, 8.7.1, 8.7.0, 8.6.5, 8.6.4, 8.6.3, 8.6.2、8.6.1、8.6.0、8.5.4、8.5.3、8.5.2、8.5.1、8.5.0、8.3.7
注:部分版本进行特定配置的动态路才会受该漏洞影响!
资产确定
app="FORTINET-FortiNAC"
漏洞复现
「POC」
https://github.com/horizon3ai/CVE-2022-39952
修复建议
排查并升级到安全版本。
下载链接:https://www.fortinet.com/
另外关注公众号后台回复“框架RCE”可获取常见框架漏洞利用工具,后台回复“pentest”获取常用渗透测试工具集。回复“apk11”获取apk测试工具集。
关注公众号
下面就是团队的公众号啦,更新的文章都会在第一时间推送在公众号
63篇原创内容
原文始发于微信公众号(CKCsec安全研究院):CVE-2022-39952 Fortinet FortiNAC
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论