Fortinet a mis en garde contre une faille de haute gravité affectant plusieurs versions du contrôleur de livraison d’applications FortiADC qui pourrait conduire à l’exécution de code arbitraire.
« Une neutralisation inappropriée d’éléments spéciaux utilisés dans une vulnérabilité de commande du système d’exploitation dans FortiADC peut permettre à un attaquant authentifié ayant accès à l’interface graphique Web d’exécuter du code ou des commandes non autorisés via des requêtes HTTP spécialement conçues », a déclaré la société. m’a dit dans un avis.
La vulnérabilité, identifiée comme CVE-2022-39947 (score CVSS : 8,6) et découverte en interne par son équipe de sécurité produit, affecte les versions suivantes :
- FortiADC versions 7.0.0 à 7.0.2
- FortiADC versions 6.2.0 à 6.2.3
- FortiADC versions 6.1.0 à 6.1.6
- FortiADC versions 6.0.0 à 6.0.4
- FortiADC versions 5.4.0 à 5.4.5
Il est recommandé aux utilisateurs de mettre à niveau vers les versions FortiADC 6.2.4 et 7.0.2 au fur et à mesure de leur disponibilité.
Les Correctifs de janvier 2023 corrigent également un certain nombre de vulnérabilités d’injection de commandes dans FortiTester (CVE-2022-35845score CVSS : 7,6) qui pourrait permettre à un attaquant authentifié d’exécuter des commandes arbitraires dans le shell sous-jacent.
Zoho expédie des correctifs pour une faille SQLi
Le fournisseur de logiciels d’entreprise Zoho exhorte également les clients à passer aux dernières versions d’Access Manager Plus, PAM360 et Password Manager Pro suite à la découverte d’une grave vulnérabilité d’injection SQL (SQLi).
Attribué l’identifiant CVE-2022-47523, le problème concerne les versions 4308 et inférieures d’Access Manager Plus ; PAM360 versions 5800 et inférieures ; et les versions 12200 et antérieures de Password Manager Pro.
« Cette vulnérabilité peut permettre à un adversaire d’exécuter des requêtes personnalisées et d’accéder aux entrées de la table de base de données à l’aide de la requête vulnérable », a déclaré la société basée en Inde. m’a dit, ajouter il a corrigé le bogue en ajoutant une validation appropriée et en échappant aux caractères spéciaux.
Bien que les détails exacts de la lacune n’aient pas été divulgués, Zoho Libération Remarques révèlent que la faille a été identifiée dans son framework interne et qu’elle pourrait permettre à tous les utilisateurs « d’accéder à la base de données principale ».