PT-2022-21877 · Fortinet · Fortitester
Publicado
2022-10-10
·
Atualizado
2022-10-21
·
CVE-2022-33874
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do FortiTester 2.3.0 a 3.9.1
Versões do FortiTester 4.0.0 a 4.2.0
Versões do FortiTester 7.0.0 a 7.1.0
Descrição
O problema está relacionado à neutralização inadequada de elementos especiais usados em um comando do sistema operacional, também conhecido como “injeção de comando do sistema operacional”, nos componentes de login SSH. Isso pode permitir que um invasor remoto não autenticado execute comandos arbitrários no shell subjacente.
Recomendações
Para as versões do FortiTester 2.3.0 a 3.9.1, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões 4.0.0 a 4.2.0 do FortiTester, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões 7.0.0 a 7.1.0 do FortiTester, atualize para uma versão fora desse intervalo para mitigar o risco.
Como solução alternativa temporária, considere restringir o acesso aos componentes de login SSH até que um patch esteja disponível.
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fortitester