Fortinet ออกแพตช์อุดช่องโหว่บน FortiNAC และ FortiWeb

Fortinet ออกแพตช์อุดช่องโหว่ Remote Code Execution ความรุนแรงสูงบน FortiNAC และ FortiWeb

Fortinet รายงาน พบช่องโหว่ CVE-2022-39952 บนระบบ FortiNAC มีความรุนแรง CVSS v3 ที่ 9.8 คะแนน ทำให้ผู้โจมตีสามารถเข้าถึงระบบโดยที่ไม่จำเป็นต้องยืนยันตัวตนได้ สำหรับ FortiNAC ที่ได้รับผลกระทบได้แก่

• FortiNAC 9.4.0
• FortiNAC 9.2.0 – 9.2.5
• FortiNAC 9.1.0 – 9.1.7
• FortiNAC 8.3 – 8.8

ผู้ที่ใช้งานสามารถอัปเกรดไปใช้งานเวอร์ชัน FortiNAC 9.4.1, 9.2.6, 9.1.8 หรือ 7.2.0 เพื่ออุดช่องโหว่ได้แล้ว

สำหรับช่องโหว่ตัวที่สองคือ CVE-2021-42756 ความรุนแรง CVSS v3 9.3 คะแนน พบใน FortiWeb ระบบ Web Application Firewall (WAF) สามารถทำให้ผู้โจมตีสร้าง HTTP request เพื่อทำ Code Execution โดยที่ไม่ต้องยืนยันตัวตนได้ โดย FortiWeb เวอร์ชันที่ได้รับผลกระทบได้แก่

• FortiWeb 5.x
• FortiWeb 6.0.7
• FortiWeb 6.1.2
• FortiWeb 6.2.6
• FortiWeb 6.3.16
• FortiWeb 6.4

ผู้ใช้งานควรทำการอัปเกรดไปเป็นเวอร์ชัน FortiWeb 7.0.0, 6.3.17, 6.2.7, 6.1.3 หรือ 6.0.8

ที่มา: https://www.bleepingcomputer.com/news/security/fortinet-fixes-critical-rce-flaws-in-fortinac-and-fortiweb/