PT-2022-6129 · Fortinet · Fortiweb
Publicado
2022-02-01
·
Atualizado
2022-02-07
·
CVE-2021-43073
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões 6.2.6 e anteriores do FortiWeb
Versões 6.3.15 e anteriores do FortiWeb
Versões 6.4.0 e 6.4.1 do FortiWeb
Descrição
O problema está relacionado à neutralização inadequada de elementos especiais usados em um comando os, também conhecido como “injeção de comando os”, o que permite que um invasor execute códigos ou comandos não autorizados por meio de solicitações HTTP maliciosas. Isso pode ser explorado por um invasor remoto para executar códigos ou comandos arbitrários.
Recomendações
Para as versões 6.2.6 e anteriores do FortiWeb, atualize para uma versão superior à 6.2.6 para resolver o problema.
Para as versões 6.3.15 e anteriores do FortiWeb, atualize para uma versão superior à 6.3.15 para resolver o problema.
Para as versões 6.4.0 e 6.4.1 do FortiWeb, atualize para uma versão superior à 6.4.1 para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso à funcionalidade vulnerável de injeção de comando os até que um patch esteja disponível.
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fortiweb