9критическая
BDU:2021-04497 (CVE-2021-32590)
Уязвимость инструмента аналитики и управления безопасностью Fortinet FortiPortal, связанная с отсутствием проверки достоверности последовательностей XML-объетов, позволяющая нарушителю выполнить произвольные SQL-команды
Опубликовано: 2021-09-15
Описание
Уязвимость инструмента аналитики и управления безопасностью Fortinet FortiPortal связана с отсутствием проверки достоверности последовательностей XML-объетов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные SQL-команды с помощью специально созданных HTTP-запросов
Затрагиваемое ПО и версии
FortiPortal (от 5.5.0 до 5.3.5 включительно)FortiPortal (от 6.0.0 до 6.0.4 включительно)FortiPortal (от 5.2.0 до 5.2.5 включительно)FortiPortal (5.0.0)FortiPortal (5.0.1)FortiPortal (5.0.2)FortiPortal (5.0.3)FortiPortal (5.1.0)FortiPortal (5.1.1)FortiPortal (5.1.2)FortiPortal (от 4.2.0 до 4.2.4 включительно)FortiPortal (от 4.1.0 до 4.1.2 включительно)FortiPortal (от 4.0.0 до 4.0.4 включительно)FortiPortal (до 3.2.2 включительно)
Способ устранения
Использование рекомендаций:
https://www.fortiguard.com/psirt/FG-IR-21-084
Оценка CVSS
| Балл | 9 — критическая опасность |
Источники и патчи