鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

【误差通告】Fortinet 8月多个清静误差

宣布时间 2021-08-04

0x00 误差概述

2021年8月3日，，，，，，Fortinet（飞塔）宣布清静通告，，，，，，修复了其产品中的22个清静误差，，，，，，这些误差涉及FortiSandbox 、FortiPortal、 FortiManager、FortiAnalyzer、 FortiOS和FortiAuthenticator。。。。。。

0x01 误差详情

在本次此修复的22个误差中，，，，，，最为严重的是FortiPortal中的一个远程代码执行误差（CVE-2021-32588）和一个SQL注入误差（CVE-2021-32590），，，，，，攻击者可以使用这2个误差在未授权的情形下执行恣意下令。。。。。。

FortiPortal是Fortinet公司的托管云清静战略治理和威胁剖析产品，，，，，，专为知足托管效劳提供商 (MSP) 的托管效劳需求而设计，，，，，，其在多租户、多层级治理框架内提供一套周全的 Wi-Fi 和清静治理功效，，，，，，使得MSP 能够通过简单治理平台审查并治理其客户网络。。。。。。

误差详情如下：

FortiPortal 远程代码执行误差（CVE-2021-32588）

由于FortiPortal中保存硬编码凭证（CWE-798）误差，，，，，，未经认证的远程攻击者可以通过使用默认的硬编码Tomcat治理器用户名和密码上传和安排恶意Web应用程序存档文件，，，，，，并以root身份执行恣意下令，，，，，，该误差的CVSSv3评分为9.3。。。。。。

影响规模

FortiPortal 5.2.5 及以下版本

FortiPortal 5.3.5 及以下版本

FortiPortal 6.0.4 及以下版本

FortiPortal 5.0.x

FortiPortal 5.1.x

FortiPortal SQL注入误差（CVE-2021-32590）

FortiPortal中保存SQL注入误差（CWE-89），，，，，，具有通俗用户权限的攻击者可以通过恶意制作的HTTP请求在底层SQL数据库上执行恣意下令，，，，，，该误差的CVSSv3评分为9.4。。。。。。

影响规模

FortiPortal 6.0.4 及以下版本

FortiPortal 5.3.5 及以下版本

FortiPortal 5.2.5 及以下版本

FortiPortal 5.1.2 及以下版本

FortiPortal 5.0.3 及以下版本

FortiPortal 4.2.4 及以下版本

FortiPortal 4.1.2 及以下版本

FortiPortal 4.0.4 及以下版本

FortiPortal 3.2.2 及以下版本

除上述误差外，，，，，，需要注重的６个高危误差包括：

l FortiManager & FortiAnalyzer中的SSRF误差（CVE-2021-32603）：攻击者可使用此误差执行未授权的代码或下令。。。。。。

l FortiManager & FortiAnalyzer＆FortiPortal中的下令注入误差（CVE-2021-26104）：攻击者可以使用此误差以 root 身份执行恣意 shell 下令。。。。。。

l FortiSandbox中的下令注入误差（CVE-2021-26097）：攻击者可以通过发送恶意 HTTP 请求执行未授权的代码或下令。。。。。。

l FortiSandbox中的路径遍历误差（CVE-2021-24010）：攻击者可以使用此误差实现未授权会见文件。。。。。。

l FortiSandbox中的SQL注入误差（CVE-2020-29011）：攻击者可以使用此误差在底层SQL诠释器上执行未授权的代码或下令。。。。。。

l FortiSandbox ＆ FortiAuthenticator中的拒绝效劳误差（CVE-2021-22124）：未经身份验证的攻击者可以通过发送恶意请求使装备进入无响应状态。。。。。。

0x02 处置惩罚建议

现在这些误差已经修复。。。。。。

针对CVE-2021-32588，，，，，，建议实时升级到以下版本：

FortiPortal 5.2.6 或更高版本

FortiPortal 5.3.6 或更高版本

FortiPortal 6.0.5 或更高版本

针对CVE-2021-32590，，，，，，建议实时升级到以下版本：

FortiPortal 6.0.5 或更高版本

FortiPortal 5.3.6 或更高版本

FortiPortal 5.2.6 或更高版本

（注：5.1、5.0、4.2、4.1、4.0和3.2版本的补丁有待确认。。。。。。）

下载链接：

https://www.fortinet.com/cn

0x03 参考链接

https://www.fortiguard.com/psirt?date=08-2021

https://www.fortiguard.com/psirt/FG-IR-21-077

https://www.fortiguard.com/psirt/FG-IR-21-084

0x04 更新版本

版本	日期	修改内容
V1.0	2021-08-04	首次宣布

0x05 文档附录

CNVD：www.cnvd.org.cn

CNNVD：www.cnnvd.org.cn

CVE：cve.mitre.org

NVD：nvd.nist.gov

CVSS：www.first.org

0x06 关于鉴黑担保网

关注以下公众号，，，，，，获取更多资讯：

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】