ProduktFortiAnalyzer: 6.4.0 – 6.4.7, 7.0.0 – 7.0.2
Numer CVECVE-2020-13927
Krytyczność9.4/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:H/RL:O/RC:C
OpisLuka wynika z domyślnego ustawienia Experimental API firmy Airflow, które umożliwia wykonywanie wszystkich żądań API bez uwierzytelniania. Zdalna nieuwierzytelniona osoba atakująca może wykonać dowolne działania interfejsu API i ostatecznie naruszyć system, którego dotyczy luka.
  
Numer CVECVE-2020-11982
Krytyczność7.4/10
CVSSAV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H/E:U/RL:O/RC:C
OpisLuka wynika z tego, że oprogramowanie, którego dotyczy luka, domyślnie inicjuje zmienną wewnętrzną o wartości niezabezpieczonej lub mniej bezpiecznej niż jest to możliwe. Zdalnie uwierzytelniony napastnik, który może połączyć się bezpośrednio z brokerem (Redis, RabbitMQ), może przekazać specjalnie spreparowane dane do aplikacji i wykonać dowolny kod w systemie docelowym.
AktualizacjaTAK
Linkhttps://www.cybersecurity-help.cz/vdb/SB2022060724 http://fortiguard.fortinet.com/psirt/FG-IR-22-008
ProduktFortiDDoS: 5.1.0 – 5.5.1
Numer CVECVE-2022-29060
Krytyczność7.1/10
CVSSAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C
OpisLuka wynika z użycia zakodowanego na stałe klucza kryptograficznego. Zdalny atakujący z możliwością odzyskania klucza z jednego urządzenia może podpisać tokeny JWT dla dowolnego innego urządzenia.
AktualizacjaTAK
Linkhttp://fortiguard.fortinet.com/psirt/FG-IR-22-071 https://www.cybersecurity-help.cz/vdb/SB2022060725
ProduktFortiOS: 5.6.0 – 6.2.10 FortiManager: 6.0.0 – 7.0.1 FortiAnalyzer: 6.0.0 – 6.0.11, 6.2.0 – 6.2.9, 6.4.0 – 6.4.7, 7.0.0 – 7.0.2 FortiSandbox: 3.0.0 – 4.0.2
Numer CVECVE-2022-22305
Krytyczność4.2/10
CVSSAV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N/E:U/RL:O/RC:C
OpisLuka umożliwia zdalnemu napastnikowi wykonanie ataku MitM. Luka wynika z nieprawidłowej weryfikacji certyfikatu. Osoba atakująca zdalnie z możliwością przechwycenia ruchu może wykonać atak MitM na produkty, których dotyczy problem, oraz na niektórych zewnętrznych peerów.
AktualizacjaTAK
Linkhttps://www.cybersecurity-help.cz/vdb/SB2022060801 http://fortiguard.fortinet.com/psirt/FG-IR-18-292