اخیرا چندین آسیبپذیری از جمله CVE-۲۰۲۱-۴۲۷۶۰، CVE-۲۰۲۱-۴۲۷۵۸ و CVE-۲۰۲۱-۴۳۰۶۷ در محصولات FortiNet شناسایی شده و در سایت افتا منتشر شده است که امکان سرریز بافر، SQL Injection، اجرای دستور و … را برای مهاجم فراهم میکنند.
خنثی سازی نادرست عناصر ویژه مورد استفاده در دستور sql (“تزریق sql”) در Fortinet FortiWLM نسخه 8.6.1 و پایین تر به مهاجم اجازه می دهد تا اطلاعات حساس جداول DB را از طریق درخواست های دستکاری شده افشا کند.
یک آسیبپذیری کنترل دسترسی نامناسب [CWE-284] در FortiWLC 8.6.1 و ورژن پایینتر ممکن است به یک مهاجم احراز هویت شده و از راه دور با امتیازات پایین اجازه دهد تا هر فرمانی را به عنوان کاربر سرپرست با حقوق دسترسی کامل از طریق دور زدن محدودیتهای رابط کاربری گرافیکی اجرا کند.
قرار گرفتن اطلاعات حساس در دسترس یک اجرا کننده غیرمجاز در Fortinet FortiAuthenticator نسخه 6.4.0، نسخه 6.3.2 و پایین تر، نسخه 6.2.1 و پایین تر، نسخه 6.1.2 و پایین تر و همچنین نسخه 6.0.7 تا 6.0.1 به مهاجم اجازه می دهد که آن را به راحتی کپی کند و از آن سوء استفاده کند.
یک آسیبپذیری کنترل دسترسی نامناسب [CWE-284] در FortiOS autod daemon 7.0.0، 6.4.6 و پایینتر، 6.2.9 و پایینتر، 6.0.12 و پایینتر و FortiProxy 2.0.1 و پایینتر، 1.2.9 و پایینتر ممکن است اجازه دهد. یک مهاجم با امتیاز پایین تأیید شده برای افزایش امتیازات خود به super_admin از طریق یک پیکربندی دستکاری شده خاص از اسکریپت CLI اتوماسیون پارچه و ویژگیهای خودکار اسکریپت.
در تمامی موارد فوق، راهکار تنها به روزرسانی برای محصول مورد نظر است. بنابراین میتوانید با این لینک محصول مورد نظر را سرچ و به روزرسانی نمایید.
