ForticlientEMS - Pervasive SQL injection in DAS component

El día de 12 de marzo 2024, el equipo de respuesta a incidentes de seguridad y productos Fortinet (PSIRT) emitió el siguiente aviso sobre una vulnerabilidad en los equipos ForticlientEMS.

Vulnerabilidad:
Una vulnerabilidad de neutralización inadecuada de elementos especiales utilizados en un comando SQL (‘Inyección de SQL’) [CWE-89] en FortiClientEMS puede permitir a un atacante no autenticado ejecutar código o comandos no autorizados a través de solicitudes específicamente diseñadas.

CVE ID:
CVE-2023-48788

Severidad: 
Nivel de severidad: Critica
CVSSv3 Score: 9.3

Impacto:
Ejecutar código o comandos no autorizados 

Workaround:
NA

Solución:
Actualice ForticlientEMS a versión 7.2.3 o superior
Actualice ForticlientEMS a versión 7.0.11 o superior

Versiones Afectadas

ForticlientEMS
ForticlientEMS versión 7.2.0 a 7.2.2
ForticlientEMS versión 7.0.1 a 7.0.10

Referencias

Fortinet. (2024). Informe de seguridad FG-IR-24-007. Recuperado de https://www.fortiguard.com/psirt/FG-IR-19-007

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios