Fortinet 修复多个路径遍历漏洞

最新推荐文章于 2024-07-04 14:06:51 发布
最新推荐文章于 2024-07-04 14:06:51 发布
阅读量978 收藏
点赞数
文章标签: 安全 java linux 信息安全 数据库
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247512788&idx=3&sn=894340534673ba25a49c72eec950b0d7&chksm=ea9483bedde30aa8e9c0b3355eeee1ce56ec6cb1f2d55b60888cea9487bd8397fff4294a955d&scene=126&&sessionid=0
版权
Fortinet发布了一系列更新,修复了其防火墙、端点安全产品及网络访问控制解决方案中的多个漏洞,包括路径遍历、权限提升、SQL注入和XSS等风险,涉及FortiDeceptor、FortiClient、FortiNAC等多个产品。这些漏洞可能被远程攻击者利用,执行任意代码或获取敏感信息。
摘要由CSDN通过智能技术生成

8b5f2d9b7768a2cacd31d650c2df91d1.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Fortinet 修复了影响多款端点安全产品的多个漏洞。

Fortinet 为全球提供超过三分之一的防火墙和统一威胁管理产品,它在7月5日发布了大量防火墙和软件更新。

Fortinet 修复的漏洞包括位于 FortiDeceptor 管理接口中的多个相关路径遍历漏洞(CVE-2022-30302),如遭利用“可导致远程认证攻击者通过特殊构造的web请求从底层文件系统中检索并删除任意文件”。同样地,攻击者可通过FortiESNAC 服务named 管道中的路径遍历漏洞,在端点防护和VPN产品 FortiClient 的Windows 版本中实现权限提升。

FortiNAC 网络访问控制解决方案也受“配置文件中空密码漏洞”的影响,认证攻击者可利用该漏洞通过命令行接口 (CLI) 访问MySQL 数据库 (CVE-2022-26117)。

b8482f525265d7d2e72a3f4d0493506b.gif

其它漏洞

其它高危娄冬冬哥位于安全事件分析工具 FortiAnalyzer、FortiManager 网络管理设备、FortiOS 操作系统和 FortiProxy web 代理中,“可导致权限攻击者通过特殊构造的 CLI ‘执行还原图像’ 和 ‘执行证书远程’ TFTP 协议操作,执行任意代码或命令”(CVE-2021-43072)。

中危漏洞包括位于 FortiADC 应用交付控制器中的SQL 漏洞(CVE-2022-26120)和位于 FortiAnalyzer 和 FortiManager 中的OS 命令注入漏洞 (CVE-2022-27483)。

此外,Fortinet 还修复了位于FortiEDR 端点安全解决方案中的XSS漏洞(CVE-2022-29057)、FortiManager 和 FortiAnalyzer 中的权限提升漏洞(CVE-2022-26118)以及影响 FortiOS 和 FortiProxy 的诊断性CLI 命令中的栈缓冲区溢出漏洞(CVE-2022-44170)。

第六个和第七个中危漏洞是位于 dhcpd 守护进程中的整数溢出漏洞,影响 FortiOS、FortiProxy、FortiSwitch 以太网交换机、FortiRecoder 视频监控系统和 FortiVoiceEnterprise 通信系统(CVE-2021-42755)。

最后,Fortinet 还修复了影响 FortiOS 的一个低危XSS漏洞(CVE-2022-23438)。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

黑客利用老旧安全缺陷攻破数万未打补丁的 Fortinet VPN 设备

Fortinet 修复严重漏洞,可导致未认证黑客以最高权限执行任意代码

Fortinet 防火墙受高危漏洞影响,可遭远程攻击

美国:APT 组织正在利用 Fortinet FortiOS 发动攻击

Fortinet 修复SSL VPN 和 Web 防火墙中的严重漏洞

原文链接

https://portswigger.net/daily-swig/fortinet-patch-batch-remedies-multiple-path-traversal-vulnerabilities

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

54736a8173a0df6565da7ed377b80e96.jpeg

31c041b6fff20a55804419f9e33be707.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   186a8cea04e06acec0bdc2e0712f4011.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
奇安信安全扫描漏洞解决路径遍历和存储型xss和反射xss攻击漏洞
11-09
亲测可用,中级漏洞,解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
java 目录遍历漏洞_路径遍历 漏洞修复
weixin_39653717的博客
02-26 3455
package net.radar.util;import java.util.regex.Pattern;public class PreventTraversalUtil {private static Pattern FilePattern = Pattern.compile("[\\\\/:*?\"<>|]");/*** 路径遍历 漏洞修复* @param str* @retu...
网站路径遍历漏洞修复
最新发布
qq_33163046的博客
07-04 1056
在当今的网络安全环境中,路径遍历漏洞(Path Traversal Vulnerability)成为日益关注的问题。此漏洞允许攻击者通过操控输入路径,访问未经授权的服务器文件,从而泄露敏感信息或执行恶意文件。本文将借助一次渗透测试修复的过程有效防止和修复此类漏洞,提升应用程序的整体安全性。
奇安信-源代码安全缺陷问题解决记录-路径遍历、API误用、配置文件明文
qq_53058639的博客
03-10 1367
除了明文处理,其他几种缺陷感觉非常多此一举,仅仅就是为了不被扫描到缺陷,所以上面很多改动的意义也仅仅是为了通过扫描。奇安信漏洞说明。
奇安信-源代码安全缺陷问题解决记录:路径遍历、API误用、配置文件明文
热门推荐
11-02 1万+
API误用-不安全的框架绑定 密码管理-配置文件中的明文密码 jasypt
Fortinet/飞塔专用的visio 图标
06-22
1.先更新为最新Visio打开的模板
Fortinet NSE4认证 学习中文PPT
06-02
FGT1_01_介绍.pptx FGT1_02_日志与监控.pptx FGT1_03_防火墙策略.pptx FGT1_04_防火墙认证.pptx FGT1_05_SSL_VPN.pptx FGT1_06_IPsec_VPN基本内容.pptx FGT1_07_Antivirus&保护模式.pptx ...
Fortinet FortiOS 7.2.4 Administration Guide
04-26
Fortinet FortiOS 7.2.4 Administration Guide 飞塔防火墙管理员配置向导v7.2.4 2023年4月24日发布
ELK:NOC ELK + FORTINET日志
05-10
ELK设置来监视Fortigate日志===============================================工具麋鹿[如何安装ELK泊坞窗]( ) 抵制配置Fortigate SysLog 第一步是配置Fortigates。 这是Syslog格式: config log syslogd setting ...
FORTINET-CORE-MIB.mib
03-14
FORTINET-CORE-MIB.mib 飞塔防火墙MIB原始文件,可通过MIB Browser文件进行解析,同时可通过SNMPWALK命令进行测试和调试。
360webscan解决xss漏洞
05-26
解决360检查wordpress的xss漏洞问题
最新系统漏洞--GitHub Enterprise Server路径遍历漏洞
weixin_48555088的博客
12-18 747
最新系统漏洞2021年12月13日 受影响系统: github Enterprise Server < 3.1.3 描述: GitHub Enterprise Server是(Github)开源的一个应用软件。提供一个将自己的GitHub实例设置为虚拟设备,从而提供可扩展,易于管理的平台。 GitHub Enterprise Server 3.1.3之前版本存在路径遍历漏洞。该漏洞源于程序未对GitHub Pages使用的用户控制配置选项进行正确限制。攻击者可利用该漏洞读取GitHub Enterpr
OWASP 企业安全控制库中存在路径遍历漏洞
smellycat000的专栏
05-06 1464
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士OWASP 修复了Enterprise Security API (ESAPI) 中的一个漏洞,如不修复,则可能被滥用于发动路径遍历攻击。该漏洞涉及 ESAPI 验证器接口,CVSS评分为7.5,可通过应用已修复版本 2.3.0.0 解决。OWASP ESAPI 提供安全控制库,有助于企业软件开发人员编写出更安全的代码。...
Java代码漏洞检测-常见漏洞修复建议
dzqxwzoe的博客
02-24 2252
银保等金融类企业信息安全处的安全扫描一般分为五项,主机漏洞,主机基线漏洞,代码检测漏洞,渗透测试漏洞,WEB扫描漏洞,以下漏洞为代码检漏洞.代码检测常用工具:奇安信代码卫士存储型XSS是指应用程序通过Web请求获取不可信赖的数据,并且在未检验数据是否存在XSS代码的情况下,将其存入数据库。当程序下一次从数据库中获取该数据时,致使页面再次执行XSS代码。存储型XSS可以持续攻击用户,在用户提交了包含XSS代码的数据存储到数据库后,每当用户在浏览网页查询对应数据库中的数据时,那些包含XSS代码的数据就会在服务器
阿里巴巴规约扫描、奇安信扫描bug修改建议
look_word的博客
12-23 4164
阿里巴巴规约扫描、奇安信扫描bug修改建议
整理网上的关于 路径遍历漏洞
weixin_34013044的博客
12-03 972
路径遍历漏洞:文件名可以在客户端任意更改,同时利用服务器的特性,如../进行目录回溯,造成越权访问敏感数据,比如访问../../../etc/passwd存在:一般存在于 文件读取或者图片展示这样的 通过参数提交上来文件名 的功能块上。防护:因此,过滤交互数据时完全有必要的目录遍历漏洞 同时实现了跨目录访问和越权访问,才能访问敏感文件 转载于:https://www.cnblogs.com/yib...
[应用漏洞]Citrix路径遍历(CVE-2019-19781)
不忘初心,护天下安全!
08-03 1851
参考:https://mp.weixin.qq.com/s/xjVL3hMNQjbX9KsHOdTPnQ 一、漏洞介绍 Citrix旗下多款交付控制器和网关存在RCE漏洞,攻击者在无需身份验证的情况下就可执行任意命令。根据安全网站的说法,这个RCE漏洞会有一个标记漏洞,即本次我们分析的Citrx路径遍历漏洞(CVE-2019-19781)。 该漏洞利用复杂性低,且无权限要求,攻击者只能遍历vpns文件夹,但攻击者可能利用Citrx路径遍历漏洞进行RCE漏洞试探,从而发起进一步精准攻击。 二、影响范围
请写一个fortinet自动增加策略python程序
04-01
以下是一个用于连接fortinet设备并获取已有策略列表的示例代码: ``` import paramiko # 连接fortinet设备 ssh = paramiko.SSHClient() ssh.set_missing_host_key_policy(paramiko.AutoAddPolicy()) ssh.connect...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值