ProduktFortiManager, wersja 7.0.0
FortiManager, wersja 6.4.5 i wcześniejsze
FortiManager, wersja 6.2.7 i wcześniejsze
FortiManager, wersja 6.0.x
FortiManager, wersja 5.6.x
FortiAnalyzer, wersja 7.0.0
FortiAnalyzer, wersja 6.4.5 i wcześniejsze
FortiAnalyzer, wersja 6.2.7 i wcześniejsze
FortiAnalyzer, wersja 6.0.x
FortiAnalyzer, wersja 5.6.x
Numer CVECVE-2021-32603
Krytyczność8.6 / 10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
OpisLuka Server-side request forgery (SSRF) w FortiManager i FortiAnalyser GUI może umożliwić zdalnemu i uwierzytelnionemu atakującemu dostęp do nieautoryzowanych plików i usług w systemie za pośrednictwem specjalnie spreparowanych żądań internetowych.
AktualizacjaTAK
Linkhttps://www.fortiguard.com/psirt/FG-IR-21-050
ProduktFortiPortal, wersja 5.2.5 i wcześniejsze
FortiPortal, wersja 5.3.5 i wcześniejsze
FortiPortal, wersja 6.0.4 i wcześniejsze
FortiPortal 5.0.x FortiPortal 5.1.x
Numer CVECVE-2021-32588
Krytyczność9.3 / 10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisLuka w zabezpieczeniach zakodowanych danych uwierzytelniających może umożliwić zdalnemu i nieuwierzytelnionemu atakującemu wykonanie nieautoryzowanych poleceń jako root poprzez przesyłanie i wdrażanie plików archiwów złośliwych aplikacji internetowych przy użyciu domyślnej, zakodowanej na stałe nazwy użytkownika i hasła programu Tomcat Manager.
Numer CVECVE-2021-32590
Krytyczność9.4 / 10
CVSSAV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
OpisWielokrotna niewłaściwa neutralizacja specjalnych elementów wykorzystywanych w lukach dotyczących poleceń SQL w FortiPortal może umożliwić atakującemu posiadającemu uprawnienia zwykłego użytkownika wykonanie dowolnych poleceń w bazowej bazie danych SQL za pośrednictwem specjalnie spreparowanych żądań HTTP.
AktualizacjaTAK
Linkhttps://www.fortiguard.com/psirt/FG-IR-21-077
https://www.fortiguard.com/psirt/FG-IR-21-084
ProduktFortiManager, wersja 6.2.7 i wcześniejsze
FortiManager, wersja 6.4.5 i wcześniejsze
FortiManager, wersje 5.6.x, 6.2.x i 6.0.x
FortiAnalyzer, wersja 6.2.7 i wcześniejsze
FortiAnalyzer, wersja 6.4.5 i wcześniejsze
FortiAnalyzer, wersje 5.6.x, 6.2.x i 6.0.x
FortiPortal, wersja 5.2.5 i wcześniejsze
FortiPortal, wersja 5.3.5 i wcześniejsze
FortiPortal, wersja 6.0.4 i wcześniejsze
Numer CVECVE-2021-26104
Krytyczność7.8 / 10
CVSSAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
OpisLuka wstrzyknięcia poleceń systemu operacyjnego w interfejsie wiersza poleceń FortiManager, FortiAnalyzer i FortiPortal może umożliwić uwierzytelnionemu i nieuprzywilejowanemu użytkownikowi lokalnemu wykonywanie dowolnych poleceń powłoki jako root za pomocą specjalnie spreparowanych parametrów poleceń CLI.
AktualizacjaTAK
Linkhttps://www.fortiguard.com/psirt/FG-IR-21-037
ProduktFortiSandbox, wersja 3.2.2 i wcześniejsze
FortiSandbox, wersja 3.1.4 i wcześniejsze
FortiSandbox, wersja 3.0.6 i wcześniejsze
Numer CVECVE-2021-26097
Krytyczność8.6 / 10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
OpisNiewłaściwa neutralizacja specjalnych elementów wykorzystywanych w luce OS Command w FortiSandbox może pozwolić uwierzytelnionemu atakującemu z dostępem do internetowego interfejsu GUI na wykonanie nieautoryzowanego kodu lub poleceń za pomocą specjalnie spreparowanych żądań HTTP.
Numer CVECVE-2021-24010
Krytyczność7.9 / 10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
OpisNiewłaściwe ograniczenie ścieżki do ograniczonego katalogu w FortiSandbox może umożliwić uwierzytelnionemu atakującemu uzyskanie nieautoryzowanego dostępu do plików i danych za pośrednictwem specjalnie spreparowanych żądań internetowych.
Numer CVECVE-2020-29011
Krytyczność8.6 / 10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
OpisLuka SQL Injection w modułach wyszukiwania sum kontrolnych FortiSandbox i kwarantanny MTA może umożliwić uwierzytelnionemu atakującemu wykonanie nieautoryzowanego kodu na bazowym interpreterze SQL za pomocą specjalnie spreparowanych żądań HTTP.
AktualizacjaTAK
Linkhttps://www.fortiguard.com/psirt/FG-IR-20-198
https://www.fortiguard.com/psirt/FG-IR-20-202
https://www.fortiguard.com/psirt/FG-IR-20-171