ГлавнаяБаза уязвимостей БДУ → BDU:2023-00805
10критическая

BDU:2023-00805 (CVE-2022-39952)

Уязвимость компонента keyUpload средства управления доступом к сети Fortinet FortiNAC, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2023-02-21
Описание

Уязвимость компонента keyUpload средства управления доступом к сети Fortinet FortiNAC связана с некорректным внешним управлением именем или путем файла. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки специально сформированного HTTP-запроса

Затрагиваемое ПО и версии
FortiNAC (8.3.7)FortiNAC (от 8.7.0 до 8.7.6 включительно)FortiNAC (от 8.8.0 до 8.8.11 включительно)FortiNAC (9.4.0)FortiNAC (от 8.6.0 до 8.6.5 включительно)FortiNAC (от 8.5.0 до 8.5.4 включительно)FortiNAC (от 9.2.0 до 9.2.5 включительно)FortiNAC (от 9.1.0 до 9.1.7 включительно)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений;
- применение систем обнаружения и предотвращения вторжений для ограничения возможности удаленного доступа с недоверенных хостов;
- использование сторонних средств контроля доступа пользователей (VPN и др.) к программному продукту из общедоступных сетей (Интернет).

Использование рекомендаций производителя:
https://www.fortiguard.com/psirt/FG-IR-22-300

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2022-39952https://www.fortiguard.com/psirt/FG-IR-22-300
Проверьте безопасность своего сайта и почты → Полная проверка домена