PT-2022-6131 · Fortinet · Fortiextender
Publicado
2022-02-01
·
Atualizado
2022-07-12
·
CVE-2021-41016
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Fortinet FortiExtender versões 7.0.1 e anteriores
Fortinet FortiExtender versões 4.2.3 e anteriores
Fortinet FortiExtender versões 4.1.7 e anteriores
Descrição
O problema está relacionado à neutralização inadequada de elementos especiais usados em um comando, também conhecida como “injeção de comando”, no Fortinet FortiExtender. Isso permite que um invasor autenticado execute comandos de shell privilegiados por meio de comandos CLI que incluem caracteres especiais. A vulnerabilidade está associada à verificação insuficiente dos argumentos passados a um comando, o que pode ser explorado por um invasor remoto para executar comandos arbitrários.
Recomendações
Para as versões 7.0.1 e anteriores do Fortinet FortiExtender, considere desativar a funcionalidade de comando CLI até que um patch esteja disponível.
Para as versões 4.2.3 e anteriores do Fortinet FortiExtender, restrinja o acesso à CLI para minimizar o risco de exploração.
Para as versões 4.1.7 e anteriores do Fortinet FortiExtender, evite usar caracteres especiais em comandos da CLI até que o problema seja resolvido.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fortiextender