Hackernews 编译,转载请注明出处:
Fortinet解决了该公司某些产品中的16个漏洞,其中6个漏洞的严重程度很高。
其中一个高严重性漏洞是FortiADC日志页面中的持续XSS,跟踪为CVE-2022-38374。该漏洞的根本原因是FortiADC中网页生成漏洞[CWE-79]期间输入的中和不当。未经身份验证的远程攻击者可触发此漏洞,通过流量和事件日志视图中观察到的HTTP字段执行存储的跨站脚本 (XSS) 攻击。
该公司解决的另一个问题是CLI命令中的命令注入漏洞,跟踪为FortiTester的CVE-2022-33870。
FortiTester命令行解释器中操作系统命令漏洞[CWE-78]中使用的特殊元素的不当中和,可能允许经过身份验证的攻击者通过对现有命令的特制参数执行未经授权的命令。
另一个漏洞,被追踪为CVE-2022-26119,影响FortiSIEM,被描述为“明文存储的Glassfish本地凭证”。
具有命令行访问权限的本地攻击者可以利用该漏洞,通过硬编码密码直接在Glassfish服务器上执行操作。
此处提供了2022年11月解决的漏洞的完整列表。
10月,Fortinet证实,被追踪为CVE-2022-40684的关键身份验证绕过漏洞正在野外被恶意利用。该问题影响了FortiGate防火墙和FortiProxy web代理。
攻击者可以利用该漏洞登录易受攻击的设备。
消息来源:securityaffairs,译者:Shirley;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc ” 并附上原文