发布时间:2021-08-05 23:06:06,来源:北京奇虎科技有限公司
近日,Fortinet发布了安全公告,修复了FortiSandbox、FortiPortal、FortiManager、FortiAnalyzer等多个产品中的22个安全漏洞。其中最严重的是FortiPortal中的一个远程代码执行漏洞(CVE-2021-32588)和一个SQL注入漏洞(CVE-2021-32590),攻击者可以利用这两个漏洞在未授权的情况下执行任意命令。建议受影响用户尽快更新至安全版本进行防护,并做好资产自查以及预防工作,以免遭受黑客攻击。
高危
Fortinet FortiPortal是美国飞塔(Fortinet)公司开发的一款帮助Managed Scurity Service Provider(MSSP)操作基于云的安全管理和日志保留服务的产品。
1. FortiPortal远程代码执行漏洞(CVE-2021-32588)
该漏洞源于硬编码凭据,未经认证的远程攻击者可使用默认的硬编码Tomcat管理器用户名和密码上传和部署恶意Web应用程序存档文件,从而以root身份执行未授权的命令。
2. FortiPortal SQL注入漏洞(CVE-2021-32590)
该漏洞源于对SQL命令中使用的特殊元素的中和不当,具有普通用户权限的攻击者可通过特制的HTTP请求在底层SQL数据库上执行任意命令。
1. CVE-2021-32588
FortiPortal <=5.2.5
FortiPortal <=5.3.5
FortiPortal <=6.0.4
FortiPortal 5.0.x
FortiPortal 5.1.x
2. CVE-2021-32590
FortiPortal <=6.0.4
FortiPortal <=5.3.5
FortiPortal <=5.2.5
FortiPortal <=5.1.2
FortiPortal <=5.0.3
FortiPortal <=4.2.4
FortiPortal <=4.1.2
FortiPortal <=4.0.4
FortiPortal <=3.2.2
目前厂商发布安全版本修复漏洞,建议用户及时升级至以下安全版本:
1. CVE-2021-32588:
FortiPortal 5.2.6或更高版本
FortiPortal 5.3.6或更高版本
FortiPortal 6.0.5或更高版本
2. CVE-2021-32590:
FortiPortal 6.0.5或更高版本
FortiPortal 5.3.6或更高版本
FortiPortal 5.2.6或更高版本
(注:5.1、5.0、4.2、4.1、4.0和3.2修复版本有待确认。)
下载链接:
https://www.fortinet.com/cn
https://www.fortiguard.com/psirt?date=08-2021
https://www.fortiguard.com/psirt/FG-IR-21-077
https://www.fortiguard.com/psirt/FG-IR-21-084