聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
FortiPresence 是一款数据分析解决方案,提供分析、热力图和报告服务,可作为托管的云服务或虚拟机使用。本周,Fortinet 表示,位于 FortiPresence 基础设施服务器中的一个严重的认证缺失漏洞可用于访问 Redis 和 MongoDB 实例。
该漏洞的编号是CVE-2022-41331(CVSS评分9.3),可遭远程未认证攻击者通过构造的认证请求利用。该漏洞影响 FortiPresence 版本1.0、1.1和1.2,已在 FortiPresence 版本2.0.0 中修复。
Fortinet 公司在四月漏洞安全公告中还修复了位于其它产品中的多个中危漏洞,包括FortiOS、FortiProxy、FortiSandbox、FortiDeceptor、FortiWeb、FortiClient for Windows and macOS、FortiSOAR、FortiADC、FortiDDoS、FortiDDoS-F、FortiAnalyzer以及FortiManager。这些漏洞可导致XSS攻击、越权API调用、命令执行、任意代码执行、任意文件创建、提权、信息泄露、任意文件检索以及中间人攻击等。
另外,Fortinet 公司还发布安全公告,详述了用于 FortiAuthenticator、FortiProxy 和 FortiSIEM 中Linux 内核中的一个漏洞,可导致低权限攻击者写入页面缓存并在系统上提权。该漏洞编号是CVE-2022-0847,也被称为“脏管道”漏洞,在 Linux 内核版本5.8 中引入,已在 Linux 5.16.11、5.15.25 和5.10.102 中修复。
另外,该公司还修复了影响 FortiNAC、FortiOS、FortiProxy、FortiADC、FortiGate 和 FortiAuthenticator 中的多个中危和低危漏洞。
建议客户尽快更新设备。尽管该公司并未提到这些漏洞遭利用的情况,但未修复的 Fortinet 产品一直是恶意攻击的目标。更多信息可参照 Fortinet 公司发布的 PSIRT 安全公告页面。
https://www.securityweek.com/fortinet-patches-critical-vulnerability-in-data-analytics-solution/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~