Fortinet ออกแพตช์อุดช่องโหว่ Remote Code Execution ความรุนแรงสูงบน FortiNAC และ FortiWeb
Fortinet รายงาน พบช่องโหว่ CVE-2022-39952 บนระบบ FortiNAC มีความรุนแรง CVSS v3 ที่ 9.8 คะแนน ทำให้ผู้โจมตีสามารถเข้าถึงระบบโดยที่ไม่จำเป็นต้องยืนยันตัวตนได้ สำหรับ FortiNAC ที่ได้รับผลกระทบได้แก่
- FortiNAC 9.4.0
- FortiNAC 9.2.0 – 9.2.5
- FortiNAC 9.1.0 – 9.1.7
- FortiNAC 8.3 – 8.8
ผู้ที่ใช้งานสามารถอัปเกรดไปใช้งานเวอร์ชัน FortiNAC 9.4.1, 9.2.6, 9.1.8 หรือ 7.2.0 เพื่ออุดช่องโหว่ได้แล้ว
สำหรับช่องโหว่ตัวที่สองคือ CVE-2021-42756 ความรุนแรง CVSS v3 9.3 คะแนน พบใน FortiWeb ระบบ Web Application Firewall (WAF) สามารถทำให้ผู้โจมตีสร้าง HTTP request เพื่อทำ Code Execution โดยที่ไม่ต้องยืนยันตัวตนได้ โดย FortiWeb เวอร์ชันที่ได้รับผลกระทบได้แก่
- FortiWeb 5.x
- FortiWeb 6.0.7
- FortiWeb 6.1.2
- FortiWeb 6.2.6
- FortiWeb 6.3.16
- FortiWeb 6.4
ผู้ใช้งานควรทำการอัปเกรดไปเป็นเวอร์ชัน FortiWeb 7.0.0, 6.3.17, 6.2.7, 6.1.3 หรือ 6.0.8