TLP:CLEAR   PAP:WHITE 
FORTINET: corrección de vulnerabilidades para FortiTester y FortiADC

Descripción
Publicadas dos nuevas vulnerabilidades altas para los productos FortiTester y FortiADC. Se proponen igualmente las soluciones recomendadas por el fabricante.

CVE-2022-35845 (7.6). FortiTester: múltiples vulnerabilidades de inyección de comandos en GUI y API.
La neutralización incorrecta múltiple de elementos especiales utilizados en las vulnerabilidades de un comando del sistema operativo ("inyección de comando del sistema operativo") [CWE-78] en FortiTester puede permitir que un atacante autenticado ejecute comandos arbitrarios en el shell subyacente.

CVE-2022-39947 (8.6). FortiADC: inyección de comandos en la interfaz web.
Una neutralización inadecuada de elementos especiales utilizados en una vulnerabilidad de comando del sistema operativo [CWE-78] en FortiADC puede permitir que un atacante autenticado con acceso a la GUI web ejecute código o comandos no autorizados a través de solicitudes HTTP específicamente diseñadas.
Productos afectados
  • FortiTester versión 7.1.0
  • FortiTester versión 7.0 todas las versiones
  • FortiTester versión 4.0.0 a 4.2.0
  • FortiTester versión 2.3.0 a 3.9.1
  • FortiADC versión 7.0.0 a 7.0.2
  • FortiADC versión 6.2.0 a 6.2.3
  • FortiADC versión 6.1.0 a 6.1.6
  • FortiADC versión 6.0.0 a 6.0.4
  • FortiADC versión 5.4.0 a 5.4.5
  • Riesgo
    Alto
    Soluciones
  • Actualice a FortiTester versión 7.2.0 o superior
  • Actualice a FortiTester versión 7.1.1 o superior
  • Actualice a FortiTester versión 4.2.1 o superior
  • Actualice a FortiTester versión 3.9.2 o superior
  • Actualice al próximo FortiADC 7.0.2.
  • Actualice al próximo FortiADC 6.2.4.
  • Referencias
    Publicación FortiTester
    Publicación FortiADC
    Contacto
    Para más información, cualquier otra incidencia o problema de seguridad, puede ponerse en contacto a través de nuestra dirección de correo csirt@seresco.es