Fortinet advirtió sobre una falla de alta gravedad que afecta a múltiples versiones del controlador de entrega de aplicaciones FortiADC que podría conducir a la ejecución de código arbitrario.
«Una neutralización inadecuada de elementos especiales utilizados en una vulnerabilidad de comando del sistema operativo en FortiADC puede permitir que un atacante autenticado con acceso a la GUI web ejecute código o comandos no autorizados a través de solicitudes HTTP específicamente diseñadas», dijo la compañía. dicho en un aviso.
La vulnerabilidad, rastreada como CVE-2022-39947 (puntuación CVSS: 8.6) y descubierta internamente por su equipo de seguridad del producto, afecta a las siguientes versiones:
- FortiADC versión 7.0.0 a 7.0.2
- FortiADC versión 6.2.0 a 6.2.3
- FortiADC versión 6.1.0 a 6.1.6
- FortiADC versión 6.0.0 a 6.0.4
- FortiADC versión 5.4.0 a 5.4.5
Se recomienda a los usuarios que actualicen a las versiones 6.2.4 y 7.0.2 de FortiADC cuando estén disponibles.
Él Parches de enero de 2023 también aborda una serie de vulnerabilidades de inyección de comandos en FortiTester (CVE-2022-35845puntaje CVSS: 7.6) que podría permitir que un atacante autenticado ejecute comandos arbitrarios en el shell subyacente.
Zoho envía arreglos para una falla de SQLi
El proveedor de software empresarial Zoho también insta a los clientes a actualizar a las últimas versiones de Access Manager Plus, PAM360 y Password Manager Pro tras el descubrimiento de una vulnerabilidad grave de inyección SQL (SQLi).
Asignado el identificador CVE-2022-47523, el problema afecta a las versiones 4308 y anteriores de Access Manager Plus; PAM360 versiones 5800 e inferiores; y Password Manager Pro versiones 12200 e inferiores.
«Esta vulnerabilidad puede permitir que un adversario ejecute consultas personalizadas y acceda a las entradas de la tabla de la base de datos utilizando la solicitud vulnerable», dijo la empresa con sede en India. dicho, agregando corrigió el error agregando la validación adecuada y escapando de los caracteres especiales.
Aunque no se han revelado los detalles exactos sobre la deficiencia, Zoho lanzamiento notas revela que la falla se identificó en su marco interno y que podría permitir a todos los usuarios «acceder a la base de datos de back-end».