Produkt | FortiManager, wersja 7.0.0 FortiManager, wersja 6.4.5 i wcześniejsze FortiManager, wersja 6.2.7 i wcześniejsze FortiManager, wersja 6.0.x FortiManager, wersja 5.6.x FortiAnalyzer, wersja 7.0.0 FortiAnalyzer, wersja 6.4.5 i wcześniejsze FortiAnalyzer, wersja 6.2.7 i wcześniejsze FortiAnalyzer, wersja 6.0.x FortiAnalyzer, wersja 5.6.x |
Numer CVE | CVE-2021-32603 |
Krytyczność | 8.6 / 10 |
CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Opis | Luka Server-side request forgery (SSRF) w FortiManager i FortiAnalyser GUI może umożliwić zdalnemu i uwierzytelnionemu atakującemu dostęp do nieautoryzowanych plików i usług w systemie za pośrednictwem specjalnie spreparowanych żądań internetowych. |
Aktualizacja | TAK |
Link | https://www.fortiguard.com/psirt/FG-IR-21-050 |
Produkt | FortiPortal, wersja 5.2.5 i wcześniejsze FortiPortal, wersja 5.3.5 i wcześniejsze FortiPortal, wersja 6.0.4 i wcześniejsze FortiPortal 5.0.x FortiPortal 5.1.x |
Numer CVE | CVE-2021-32588 |
Krytyczność | 9.3 / 10 |
CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Opis | Luka w zabezpieczeniach zakodowanych danych uwierzytelniających może umożliwić zdalnemu i nieuwierzytelnionemu atakującemu wykonanie nieautoryzowanych poleceń jako root poprzez przesyłanie i wdrażanie plików archiwów złośliwych aplikacji internetowych przy użyciu domyślnej, zakodowanej na stałe nazwy użytkownika i hasła programu Tomcat Manager. |
Numer CVE | CVE-2021-32590 |
Krytyczność | 9.4 / 10 |
CVSS | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Opis | Wielokrotna niewłaściwa neutralizacja specjalnych elementów wykorzystywanych w lukach dotyczących poleceń SQL w FortiPortal może umożliwić atakującemu posiadającemu uprawnienia zwykłego użytkownika wykonanie dowolnych poleceń w bazowej bazie danych SQL za pośrednictwem specjalnie spreparowanych żądań HTTP. |
Aktualizacja | TAK |
Link | https://www.fortiguard.com/psirt/FG-IR-21-077 https://www.fortiguard.com/psirt/FG-IR-21-084 |
Produkt | FortiManager, wersja 6.2.7 i wcześniejsze FortiManager, wersja 6.4.5 i wcześniejsze FortiManager, wersje 5.6.x, 6.2.x i 6.0.x FortiAnalyzer, wersja 6.2.7 i wcześniejsze FortiAnalyzer, wersja 6.4.5 i wcześniejsze FortiAnalyzer, wersje 5.6.x, 6.2.x i 6.0.x FortiPortal, wersja 5.2.5 i wcześniejsze FortiPortal, wersja 5.3.5 i wcześniejsze FortiPortal, wersja 6.0.4 i wcześniejsze |
Numer CVE | CVE-2021-26104 |
Krytyczność | 7.8 / 10 |
CVSS | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Opis | Luka wstrzyknięcia poleceń systemu operacyjnego w interfejsie wiersza poleceń FortiManager, FortiAnalyzer i FortiPortal może umożliwić uwierzytelnionemu i nieuprzywilejowanemu użytkownikowi lokalnemu wykonywanie dowolnych poleceń powłoki jako root za pomocą specjalnie spreparowanych parametrów poleceń CLI. |
Aktualizacja | TAK |
Link | https://www.fortiguard.com/psirt/FG-IR-21-037 |
Produkt | FortiSandbox, wersja 3.2.2 i wcześniejsze FortiSandbox, wersja 3.1.4 i wcześniejsze FortiSandbox, wersja 3.0.6 i wcześniejsze |
Numer CVE | CVE-2021-26097 |
Krytyczność | 8.6 / 10 |
CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Opis | Niewłaściwa neutralizacja specjalnych elementów wykorzystywanych w luce OS Command w FortiSandbox może pozwolić uwierzytelnionemu atakującemu z dostępem do internetowego interfejsu GUI na wykonanie nieautoryzowanego kodu lub poleceń za pomocą specjalnie spreparowanych żądań HTTP. |
Numer CVE | CVE-2021-24010 |
Krytyczność | 7.9 / 10 |
CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
Opis | Niewłaściwe ograniczenie ścieżki do ograniczonego katalogu w FortiSandbox może umożliwić uwierzytelnionemu atakującemu uzyskanie nieautoryzowanego dostępu do plików i danych za pośrednictwem specjalnie spreparowanych żądań internetowych. |
Numer CVE | CVE-2020-29011 |
Krytyczność | 8.6 / 10 |
CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Opis | Luka SQL Injection w modułach wyszukiwania sum kontrolnych FortiSandbox i kwarantanny MTA może umożliwić uwierzytelnionemu atakującemu wykonanie nieautoryzowanego kodu na bazowym interpreterze SQL za pomocą specjalnie spreparowanych żądań HTTP. |
Aktualizacja | TAK |
Link | https://www.fortiguard.com/psirt/FG-IR-20-198 https://www.fortiguard.com/psirt/FG-IR-20-202 https://www.fortiguard.com/psirt/FG-IR-20-171 |