PT-2022-4999 · Fortinet · Fortios
Publicado
2022-10-10
·
Atualizado
2022-10-12
·
CVE-2021-44171
CVSS v3.1
9.0
Crítica
| Vetor | AV:A/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do FortiOS 6.0.0 a 6.0.14
Versões do FortiOS 6.2.0 a 6.2.10
Versões do FortiOS 6.4.0 a 6.4.8
Versões do FortiOS 7.0.0 a 7.0.3
Descrição
O problema está relacionado à neutralização inadequada de elementos especiais usados em um comando
os, o que permite que um invasor execute comandos privilegiados em um FortiSwitch conectado por meio de comandos de diagnóstico da CLI. Isso pode ser explorado por um invasor autenticado.Recomendações
Para as versões do FortiOS 6.0.0 a 6.0.14, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões do FortiOS 6.2.0 a 6.2.10, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões do FortiOS 6.4.0 a 6.4.8, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões do FortiOS 7.0.0 a 7.0.3, atualize para uma versão fora desse intervalo para mitigar o risco.
Como solução alternativa temporária, considere restringir o acesso aos comandos de CLI de diagnóstico até que um patch esteja disponível.
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fortios