Af Eskil Sørensen, 05/01/23
Fortinet, der udbyder sikkerhedsløsninger, har i denne uge bekendtgjort, at der er patches for adskillige sårbarheder på tværs af produktporteføljen. Det skriver Security Week.
En af sårbarhederne er en alvorlig command injection-fejl i FortiADC.
Den har id’et CVE-2022-39947 og en CVSS-score på 8,6. Den er fundet i FortiADC-webgrænsefladen og vil kunne føre til vilkårlig afvikling af kode. Fortinet skriver i sin advisory, at problemet påvirker FortiADC version 5.4.x, 6.0.x, 6.1.x, 6.2.x og 7.0.x. og bliver løst med udgivelsen af FortiADC 6.2.4 og 7.0.2.
Der er også fundet command injection-fejl i FortiTester (CVE-2022-35845 / CVSS-score på 7,6), der påvirker versionerne 2.x.x, 3.x.x, 4.x.x, 7.x og 7.1.0. Disse bliver løst med udgivelsen af FortiTester versioner 3.9.2, 4.2.1, 7.1.1 og 7.2.0. Der kræves dog godkendelse for at udnytte denne sårbarhed.
Endelig er der fundet sårbarheder i Fortimanager, FortiPortal og FortiWeb.
Der er ikke oplysninger om evt. angreb in-the-wild.