聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士

最近,Fortinet 修复了 FortiWeb web 应用程序防火墙 (WAF) 中的一个高危漏洞,它可被用于执行任意命令。如被与错误配置和最近发现的另外一个漏洞结合利用,则可造成更严重的风险。

Positive Technologies 公司的研究员 Andrey Medov 发现,Fortinet 防火墙的管理接口受漏洞影响,可导致远程认证攻击者通过 SAML 服务器配置页面在系统上执行命令。

五月晚些时候,Fortinet 公司在安全公告中指出,该缺陷的编号为 CVE-2021-22123,已在 FortiWeb 版本6.3.8 和 6.2.4 中修复。

上周四,Medov 指出该漏洞可遭认证攻击者以最大权限执行任意命令,从而完全控制服务器。该研究员指出,如果和错误配置漏洞以及他最近在 FortiWeb 中发现的另外一个漏洞结合利用,可造成更严重的后果。他发现的另外一个漏洞是 CVE-2020-29015,是一个中危的 SQL 盲注漏洞,可导致远程未认证攻击者通过发送一个特殊构造请求的方式执行 SQL 命令或查询。

Medov 解释称,“如果因配置错误的原因,防火墙管理接口可从互联网访问而产品本身并未更新至最新版本,则结合利用 CVE-2021-22123和 CVE-2020-29015 可使攻击者渗透到内网。”

最近,Positive Technologies 公司被美国政府以支持克里姆林宫情报机构的理由制裁。然而,该公司指出将继续负责任地披露员工从美国重要企业中发现的漏洞。

推荐阅读

多个漏洞可被用于破坏劫持施耐德 PowerLogic 设备

数百万戴尔设备遭 BIOSConnect 代码执行漏洞影响

详解ThroughTek P2P 供应链漏洞对数百万物联网设备的安全新风险

原文链接

https://www.securityweek.com/vulnerabilities-expose-fortinet-firewalls-remote-attacks

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 觉得不错,就点个 “在看” 或 "赞” 吧~

Fortinet 防火墙受高危漏洞影响,可遭远程攻击相关推荐

  1. 惠普Teradici PCoIP 受OpenSSL 漏洞影响,波及1500万个端点

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 惠普提醒称,Teradici PCoIP 客户端和代理(Windows.Linux 和 macOS 版本)中存在一个严重漏洞,影响1500个端点 ...

  2. 网络靶场实战--飞塔(Fortinet)防火墙认证绕过漏洞(CVE-2022-40684)

    本环境是蛇矛实验室基于"火天网演攻防演训靶场"进行搭建,通过火天网演中的环境构建模块,可以灵活的对目标网络进行设计和配置,并且可以快速进行场景搭建和复现验证工作. 背景 Forti ...

  3. Realtek WiFi 模块受严重漏洞影响

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 Realtek RT8170C WiFi 模块中被指存在多个严重漏洞,可被滥用于获取设备的提升权限并劫持无线通信. 以色列物联网公司 Vd ...

  4. 受Struts2漏洞影响 思科正审查其主要产品安全性 CVE-2017-9805已有主动攻击

    本周一,绿盟科技发布 网络安全威胁周报2017.36,提醒客户注意Struts2远程代码执行漏洞(S2-052)CVE-2017-9805 ,而思科也在上周连续发布了两个安全公告,并进行自身主要产品安 ...

  5. Fortinet 修复6个高危漏洞

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 本周二,Fortinet 通知用户称在公司产品中发现了16个漏洞,其中6个是"高危"级别. 在这些高危漏洞中,其中一个影响 ...

  6. BIND 服务器修复多个高危漏洞

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 互联网系统协会 (ISC) 发布安全更新,修复了位于广泛部署的 BIND 服务器软件中的多个高危漏洞. ISC 发布安全公告称,最新的安全更新共 ...

  7. Phoenix Contact 多款工业产品被曝多个高危漏洞

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 德国工业解决方案提供商 Phoenix Contact 上周通知客户称,公司多款产品中被曝10个漏洞. Phoenix Contact 公 ...

  8. 绿盟科技发布OpenSSL高危漏洞技术分析与防护方案 G20成员国美国、中国、德国受影响较大...

    近日,OpenSSL官方发布了版本更新,修复了多个OpenSSL漏洞,这次更新所修复的漏洞中,有两个危害等级较高的为CVE-2016-6304和CVE-2016-6305.绿盟科技对此漏洞进行了技术分 ...

  9. 戴尔BIOS 爆多个高危漏洞,影响Inspiron 等数百万系统

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 戴尔BIOS 中存在多个高危漏洞,如遭成功利用可导致在易受攻击系统上执行代码,类似于近期存在于Insyde 软件 InsydeH2O中的固件漏洞 ...

最新文章

  1. 数据结构与算法(2-1)线性表之顺序存储(顺序表)
  2. C语言比较字符串长短
  3. 我们人类与人工智能技术究竟是怎样的关系?
  4. Windbg脚本和扩展工具开篇
  5. 【CyberSecurityLearning 24】kali中间人攻击
  6. 顶级俄国数学家是怎样炼成的?[2016-06-25 张羿 赛先生]
  7. 通才还是专才——由摩托裁员引发的讨论
  8. java 最佳主键_最佳Java 8书籍
  9. 使用bootbox.js(二级务必提交书面和数字到数字中国)
  10. 27. 二叉搜索树与双向链表(C++版本)
  11. 计算机仿真技术与cad第三版课后答案,《计算机仿真技术与CAD习题答案》.doc
  12. Qt:Label(添加文字、图片、gif动图、网站链接)、添加文件资源、添加LCD显示、添加进度条
  13. 只需10行代码就能对Excel文件进行批量去重~
  14. LabView---信号发生器
  15. 普通云硬盘,高性能云硬盘和SSD云硬盘三者之间有什么区别?
  16. pikachu通关教程
  17. Android调试工具ADB
  18. Tomcat开启为什么会秒退
  19. Typora自定义样式--你值得拥有自己的styles
  20. 易中天品三国之:《大江东去》

热门文章

  1. logstash 收集windows日志--解决日志不能重命名问题
  2. 【转】HTTP协议之multipart/form-data请求分析
  3. 有趣的java小项目------猜拳游戏
  4. ASP.NET中调用Excel的问题
  5. C#程序设计语言2.0简介
  6. linux下的chromedriver驱动器配置实例(含代码)
  7. JAVA 他人博客收藏 (To be continue)
  8. Ubuntu安装JDK,搭建java环境
  9. Redis的使用原理
  10. ESXI上的新建虚机绑定已使用过的静态ip无法ping通网关的奇怪现象