Fortinet y Zoho instan a los clientes a parchear las vulnerabilidades del software empresarial


05 de enero de 2023Ravie LakshmanánSeguridad de aplicaciones / SQLi

Fortinet advirtió sobre una falla de alta gravedad que afecta a múltiples versiones del controlador de entrega de aplicaciones FortiADC que podría conducir a la ejecución de código arbitrario.

“Una neutralización inadecuada de elementos especiales utilizados en una vulnerabilidad de comando del sistema operativo en FortiADC puede permitir que un atacante autenticado con acceso a la GUI web ejecute código o comandos no autorizados a través de solicitudes HTTP específicamente diseñadas”, dijo la compañía. dicho en un aviso.

La vulnerabilidad, rastreada como CVE-2022-39947 (puntuación CVSS: 8.6) y descubierta internamente por su equipo de seguridad del producto, afecta a las siguientes versiones:

  • FortiADC versión 7.0.0 a 7.0.2
  • FortiADC versión 6.2.0 a 6.2.3
  • FortiADC versión 6.1.0 a 6.1.6
  • FortiADC versión 6.0.0 a 6.0.4
  • FortiADC versión 5.4.0 a 5.4.5

Se recomienda a los usuarios que actualicen a las versiones 6.2.4 y 7.0.2 de FortiADC cuando estén disponibles.

Él Parches de enero de 2023 también aborda una serie de vulnerabilidades de inyección de comandos en FortiTester (CVE-2022-35845puntaje CVSS: 7.6) que podría permitir que un atacante autenticado ejecute comandos arbitrarios en el shell subyacente.

Zoho envía arreglos para una falla de SQLi

El proveedor de software empresarial Zoho también insta a los clientes a actualizar a las últimas versiones de Access Manager Plus, PAM360 y Password Manager Pro tras el descubrimiento de una vulnerabilidad grave de inyección SQL (SQLi).

Asignado el identificador CVE-2022-47523, el problema afecta a las versiones 4308 y anteriores de Access Manager Plus; PAM360 versiones 5800 e inferiores; y Password Manager Pro versiones 12200 e inferiores.

“Esta vulnerabilidad puede permitir que un adversario ejecute consultas personalizadas y acceda a las entradas de la tabla de la base de datos utilizando la solicitud vulnerable”, dijo la empresa con sede en India. dicho, agregando corrigió el error agregando la validación adecuada y escapando de los caracteres especiales.

Aunque no se han revelado los detalles exactos sobre la deficiencia, Zoho lanzamiento notas revela que la falla se identificó en su marco interno y que podría permitir a todos los usuarios “acceder a la base de datos de back-end”.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57