Fortinet 防火墙受高危漏洞影响,可遭远程攻击
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士
最近,Fortinet 修复了 FortiWeb web 应用程序防火墙 (WAF) 中的一个高危漏洞,它可被用于执行任意命令。如被与错误配置和最近发现的另外一个漏洞结合利用,则可造成更严重的风险。
Positive Technologies 公司的研究员 Andrey Medov 发现,Fortinet 防火墙的管理接口受漏洞影响,可导致远程认证攻击者通过 SAML 服务器配置页面在系统上执行命令。
五月晚些时候,Fortinet 公司在安全公告中指出,该缺陷的编号为 CVE-2021-22123,已在 FortiWeb 版本6.3.8 和 6.2.4 中修复。
上周四,Medov 指出该漏洞可遭认证攻击者以最大权限执行任意命令,从而完全控制服务器。该研究员指出,如果和错误配置漏洞以及他最近在 FortiWeb 中发现的另外一个漏洞结合利用,可造成更严重的后果。他发现的另外一个漏洞是 CVE-2020-29015,是一个中危的 SQL 盲注漏洞,可导致远程未认证攻击者通过发送一个特殊构造请求的方式执行 SQL 命令或查询。
Medov 解释称,“如果因配置错误的原因,防火墙管理接口可从互联网访问而产品本身并未更新至最新版本,则结合利用 CVE-2021-22123和 CVE-2020-29015 可使攻击者渗透到内网。”
最近,Positive Technologies 公司被美国政府以支持克里姆林宫情报机构的理由制裁。然而,该公司指出将继续负责任地披露员工从美国重要企业中发现的漏洞。
推荐阅读
多个漏洞可被用于破坏劫持施耐德 PowerLogic 设备
数百万戴尔设备遭 BIOSConnect 代码执行漏洞影响
详解ThroughTek P2P 供应链漏洞对数百万物联网设备的安全新风险
原文链接
https://www.securityweek.com/vulnerabilities-expose-fortinet-firewalls-remote-attacks
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
Fortinet 防火墙受高危漏洞影响,可遭远程攻击相关推荐
- 惠普Teradici PCoIP 受OpenSSL 漏洞影响,波及1500万个端点
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 惠普提醒称,Teradici PCoIP 客户端和代理(Windows.Linux 和 macOS 版本)中存在一个严重漏洞,影响1500个端点 ...
- 网络靶场实战--飞塔(Fortinet)防火墙认证绕过漏洞(CVE-2022-40684)
本环境是蛇矛实验室基于"火天网演攻防演训靶场"进行搭建,通过火天网演中的环境构建模块,可以灵活的对目标网络进行设计和配置,并且可以快速进行场景搭建和复现验证工作. 背景 Forti ...
- Realtek WiFi 模块受严重漏洞影响
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 Realtek RT8170C WiFi 模块中被指存在多个严重漏洞,可被滥用于获取设备的提升权限并劫持无线通信. 以色列物联网公司 Vd ...
- 受Struts2漏洞影响 思科正审查其主要产品安全性 CVE-2017-9805已有主动攻击
本周一,绿盟科技发布 网络安全威胁周报2017.36,提醒客户注意Struts2远程代码执行漏洞(S2-052)CVE-2017-9805 ,而思科也在上周连续发布了两个安全公告,并进行自身主要产品安 ...
- Fortinet 修复6个高危漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周二,Fortinet 通知用户称在公司产品中发现了16个漏洞,其中6个是"高危"级别. 在这些高危漏洞中,其中一个影响 ...
- BIND 服务器修复多个高危漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 互联网系统协会 (ISC) 发布安全更新,修复了位于广泛部署的 BIND 服务器软件中的多个高危漏洞. ISC 发布安全公告称,最新的安全更新共 ...
- Phoenix Contact 多款工业产品被曝多个高危漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 德国工业解决方案提供商 Phoenix Contact 上周通知客户称,公司多款产品中被曝10个漏洞. Phoenix Contact 公 ...
- 绿盟科技发布OpenSSL高危漏洞技术分析与防护方案 G20成员国美国、中国、德国受影响较大...
近日,OpenSSL官方发布了版本更新,修复了多个OpenSSL漏洞,这次更新所修复的漏洞中,有两个危害等级较高的为CVE-2016-6304和CVE-2016-6305.绿盟科技对此漏洞进行了技术分 ...
- 戴尔BIOS 爆多个高危漏洞,影响Inspiron 等数百万系统
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 戴尔BIOS 中存在多个高危漏洞,如遭成功利用可导致在易受攻击系统上执行代码,类似于近期存在于Insyde 软件 InsydeH2O中的固件漏洞 ...
最新文章
- 数据结构与算法(2-1)线性表之顺序存储(顺序表)
- C语言比较字符串长短
- 我们人类与人工智能技术究竟是怎样的关系?
- Windbg脚本和扩展工具开篇
- 【CyberSecurityLearning 24】kali中间人攻击
- 顶级俄国数学家是怎样炼成的?[2016-06-25 张羿 赛先生]
- 通才还是专才——由摩托裁员引发的讨论
- java 最佳主键_最佳Java 8书籍
- 使用bootbox.js(二级务必提交书面和数字到数字中国)
- 27. 二叉搜索树与双向链表(C++版本)
- 计算机仿真技术与cad第三版课后答案,《计算机仿真技术与CAD习题答案》.doc
- Qt:Label(添加文字、图片、gif动图、网站链接)、添加文件资源、添加LCD显示、添加进度条
- 只需10行代码就能对Excel文件进行批量去重~
- LabView---信号发生器
- 普通云硬盘,高性能云硬盘和SSD云硬盘三者之间有什么区别?
- pikachu通关教程
- Android调试工具ADB
- Tomcat开启为什么会秒退
- Typora自定义样式--你值得拥有自己的styles
- 易中天品三国之:《大江东去》