Fortinet, FortiADC uygulama dağıtım denetleyicisinin birden çok sürümünü etkileyen ve keyfi kod yürütülmesine yol açabilecek yüksek önem dereceli bir kusur konusunda uyarıda bulundu.
Şirket, “FortiADC’deki bir işletim sistemi komut güvenlik açığında kullanılan özel öğelerin uygunsuz bir şekilde etkisiz hale getirilmesi, web GUI’ye erişimi olan kimliği doğrulanmış bir saldırganın, özel olarak hazırlanmış HTTP istekleri aracılığıyla yetkisiz kod veya komutları yürütmesine izin verebilir.” dedim bir danışmada.
CVE-2022-39947 (CVSS puanı: 8.6) olarak izlenen ve ürün güvenlik ekibi tarafından dahili olarak keşfedilen güvenlik açığı aşağıdaki sürümleri etkiliyor –
- FortiADC sürüm 7.0.0 ila 7.0.2
- FortiADC sürüm 6.2.0 ila 6.2.3
- FortiADC sürüm 6.1.0 ila 6.1.6
- FortiADC sürüm 6.0.0 ila 6.0.4
- FortiADC sürüm 5.4.0 ila 5.4.5
Kullanıcıların FortiADC sürümleri 6.2.4 ve 7.0.2’ye çıktıkları anda yükseltmeleri önerilir.
bu Ocak 2023 yamaları ayrıca FortiTester’daki (CVE-2022-35845CVSS puanı: 7.6), kimliği doğrulanmış bir saldırganın alttaki kabukta rasgele komutlar yürütmesine izin verebilir.
Zoho, Bir SQLi Hatası İçin Düzeltmeler Gönderdi
Kurumsal yazılım sağlayıcısı Zoho, ciddi bir SQL enjeksiyon (SQLi) güvenlik açığının keşfedilmesinin ardından müşterilerini Access Manager Plus, PAM360 ve Password Manager Pro’nun en son sürümlerine yükseltmeye çağırıyor.
Tanımlayıcı atandı CVE-2022-47523, sorun Access Manager Plus 4308 ve altındaki sürümleri etkiler; PAM360 sürümleri 5800 ve altı; ve Password Manager Pro sürümleri 12200 ve altı.
Hindistan merkezli şirket, “Bu güvenlik açığı, bir saldırganın özel sorgular yürütmesine ve güvenlik açığı bulunan isteği kullanarak veritabanı tablosu girişlerine erişmesine izin verebilir.” dedim, ekleme uygun doğrulama ekleyerek ve özel karakterlerden kaçarak hatayı düzeltti.
Eksiklikle ilgili kesin ayrıntılar açıklanmamış olsa da, Zoho’nun serbest bırakmak notlar kusurun dahili çerçevesinde tanımlandığını ve tüm kullanıcıların “arka uç veritabanına erişmesini” sağlayabileceğini ortaya koyuyor.
