四个高,六个中等和一个低严重性问题固定
Fortinet已经解决了一系列安全漏洞影响其几种端点安全产品。
总结的网络安全巨头,该巨头有说明超过三分之一在全球所有防火墙和统一威胁管理货物中,发行周二(7月5日)进行了大量固件和软件更新。
高度严重性缺陷的四重奏包括多个亲戚路径遍历Fortideceptor的管理接口中的虫子,该界面插入虚拟机,这些虚拟机是网络入侵者的蜜罐(CVE-2022-30302)。
滥用这些“可能允许远程验证的攻击者通过特殊精心设计的Web请求从基础文件系统中检索和删除任意文件”,根据相应的Fortinetbeplay体育能用吗咨询。
同样,攻击者可以在端点保护和VPN产品Forticlient的Windows版本中通过PATH Traversal在负责FortiesNAC服务的指定管道中实现特权升级(CVE-2021-41031)。
同时,Fortinac网络访问控制解决方案遭受了“配置文件漏洞中的空密码”,身份验证的攻击者可以通过命令行界面(CLI)(CLI)访问MySQL数据库(CLI)(CVE-2022-26117)。
其他错误
The other high severity issue, which applies to security event analysis appliance FortiAnalyzer, the FortiManager network management device, the FortiOS operating system, and the FortiProxy web proxy, “may allow a privileged attacker to execute arbitrary code or command via crafted CLI ‘execute restore image’ and ‘execute certificate remote’ operations with the TFTP protocol” (CVE-2021-43072)。
补丁批处理中的中等严重性问题包括FortiADC应用程序输送控制器(CVE-2022-26120)中的SQL注入漏洞和Fortianalyzer和Fortimanager(CVE-20222-27483)的CLI中的OS命令注射漏洞。
同时,Fortiedr端点安全解决方案(CVE-2022-29057)中的跨站点脚本(XSS)问题;Fortimanager和Fortianalyzer的特权升级错误(CVE-2022-26118);以及基于堆栈的缓冲区溢出,影响Fortios和Fortiproxy(CVE-2021-44170)。
第六个也是最后一个中等严重性问题是DHCPD守护程序影响Fortios,Fortiproxy,Fortiswitch Ethernet Switches,FortireCoder视频监视系统和FortivoIceenterprise通信系统(CVE-2021-42755)的整数溢出。
从威胁角度来看,最后一个也是最少的严重程度很低XSS影响Fortios的脆弱性(CVE-2022-23438)。
