安全播报

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
【漏洞预警】Fortinet 8月多个安全漏洞
2021-08-12 14:42:27 【

1. 通告信息



近日,安识科技A-Team团队监测发现Fortinet(飞塔)发布安全公告,修复了其产品中的22个安全漏洞,这些漏洞涉及FortiSandbox 、FortiPortal、 FortiManager、FortiAnalyzer、 FortiOS和FortiAuthenticator。


对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受黑客攻击。




2. 漏洞概述


CVE-2021-32588: FortiPortal远程代码执行漏洞


简述: 由于FortiPortal中存在硬编码凭证(CWE-798)漏洞,未经认证的远程攻击者可以通过使用默认的硬编码Tomcat管理器用户名和密码上传和部署恶意Web应用程序存档文件,并以root身份执行任意命令



CVE-2021-32590: SQL注入漏洞


简述: 具有普通用户权限的攻击者可以通过恶意制作的HTTP请求在底层SQL数据库上执行任意命令



CVE-2021-32603 FortiManager & FortiAnalyzer SSRF漏洞


简述: 攻击者可利用此漏洞执行未授权的代码或命令。



CVE-2021-26104  FortiManager & FortiAnalyzer&FortiPortal命令注入漏洞


简述: 攻击者可以利用此漏洞以 root 身份执行任意 shell 命令。



CVE-2021-26097  FortiSandbox命令注入漏洞


简述: 攻击者可以通过发送恶意 HTTP 请求执行未授权的代码或命令。



CVE-2021-24010  FortiSandbox路径遍历漏洞


简述: 攻击者可以利用此漏洞实现未授权访问文件




CVE-2021-22124 FortiSandbox & FortiAuthenticator中拒绝服务漏洞


简述: 未经身份验证的攻击者可以通过发送恶意请求使设备进入无响应状态。





3. 漏洞危害




攻击者可以利用漏洞以root身份执行任意代码、shell命令,接管服务器,存在极大的危害。





4. 影响版本




CVE-2021-32588


FortiPortal 5.2.5 及以下版本


FortiPortal 5.3.5 及以下版本


FortiPortal 6.0.4 及以下版本


FortiPortal 5.0.x


FortiPortal 5.1.x



CVE-2021-32590


FortiPortal 6.0.4 及以下版本


FortiPortal 5.3.5 及以下版本


FortiPortal 5.2.5 及以下版本


FortiPortal 5.1.2 及以下版本


FortiPortal 5.0.3 及以下版本


FortiPortal 4.2.4 及以下版本


FortiPortal 4.1.2 及以下版本


FortiPortal 4.0.4 及以下版本


FortiPortal 3.2.2 及以下版本





5. 解决方案




针对CVE-2021-32588,建议及时升级到以下版本:


FortiPortal 5.2.6 或更高版本


FortiPortal 5.3.6 或更高版本


FortiPortal 6.0.5 或更高版本



针对CVE-2021-32590,建议及时升级到以下版本:


FortiPortal 6.0.5 或更高版本


FortiPortal 5.3.6 或更高版本


FortiPortal 5.2.6 或更高版本





6. 时间轴




【-】2021年8月3日  Fortinet官方发布安全公告


【-】2021年8月4日 安识科技A-Team团队根据官方公告分析


【-】2021年8月5日 安识科技A-Team团队发布安全通告


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇勒索软件一次次破防,我们拿什么.. 下一篇如何使用WFH搜索Windows可执行程..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800