تعداد بازدید: 24

آسیب‌پذیری در فورتی منیجر و فورتی آنالایزر

نوامبر ۲۰۲۲

شرکت فورتی نت به تازگی خبر از آسیب‌پذیری در دو محصول فورتی آنالایزر و فورتی منیجر داده است. این آسیب‌پذیری که از نوع CWE-79 به یک مهاجم اجازه اجرای حملات XSS را می‌دهد. مهم است بدانید هکرها برای اکسپلویت این آسیب‌پذیری نیاز به داشتن دسترسی سطح بالا ندارند. آن‌ها قادر هستند وب اسکریپت‌های مخرب رااز طریق Ckeditor “protected” comment ارسال کنند. این ضعف فنی با شماره مرجع CVE-2020-9281 مشخص شده است و به دلیل نقص در بررسی ورودی‌ها در طی روند تولید صفحه وب ایجاد می‌شود. ما به شما توصیه می‌کنیم هر چه سریعتر به روزرسانی‌های ارائه شده را نصب کنید.

محصولات آسیب‌پذیر

فورتی آنالایزر نسخه ۷٫۰٫۰ تا ۷٫۰٫۴
فورتی آنالایزر نسخه ۶٫۴٫۰ تا ۶٫۴٫۸
فورتی آنالایزر ۶٫۲ و تمامی نسخه‌ها
فورتی منیجر نسخه ۶٫۴٫۰ تا ۶٫۴٫۸
فورتی منیجر ۶٫۲ تمامی نسخه‌ها

راهکارها

ارتقا به نسخه FortiAnalyzer 7.2.0 یا بالاتر
ارتقا به نسخه FortiAnalyzer 7.0.5 یا بالاتر
ارتقا به نسخه FortiAnalyzer 6.4.9 یا بالاتر
ارتقا به نسخه FortiManager 7.2.0 یا بالاتر
ارتقا به نسخه FortiManager 7.0.5 یا بالاتر
ارتقا به نسخه FortiManager 6.4.9 یا بالاتر

قبول مسئولیت و ارائه سریع به روزرسانی

فورتی نت از Mark de Groot و Ron Oosteveen از تیم KPN RED برای کشف و گزارش این آسیب‌پذیری تشکر کرده است. این شرکت معتبر ضمن قبول مسئولیت به سرعت اقدام به ارائه به روزرسانی برای برطرف کردن ضعف امنیتی موجود در محصولاتش کرده است. اگر شما هم از محصولات آسیب پذیر در شبکه‌تان استفاده می‌کنید هر چه سریعتر به روزرسانی‌ها را نصب کنید!

تاریخ: نوامبر ۲۰۲۲
شماره‌های مرجع: CVE-2022-39950
اثرات: راه اندازی حملات XSS
راهکار: ارتقا به نسخه‌های ارائه شده
برای کسب اطلاعات بیشتر به این پیوند مراجعه نمایید:
https://www.fortiguard.com/psirt/FG-IR-21-228

برای مدیریت آسیب‌پذیری و نصب خودکار وصله‌های امنیتی چه چاره‌ای اندیشیده‌اید؟

با راهکار GFI LanGuard طیف وسیعی از توانمندی‌ها از جمله پویش شبکه، تشخیص و اصلاح نقاط آسیب‌پذیر شبکه، مدیریت وصله‌های امنیتی، پویش درگاه‌های شبکه و ارزیابی آسیب‌پذیری‌های پایگاه داده را به سازمان خود بیاورید.

با ما تماس بگیرید