Fortinet a mis en garde contre une faille de haute gravité affectant plusieurs versions du contrôleur de livraison d’applications FortiADC qui pourrait conduire à l’exécution de code arbitraire.
« Une neutralisation inappropriée d’éléments spéciaux utilisés dans une vulnérabilité de commande du système d’exploitation dans FortiADC peut permettre à un attaquant authentifié ayant accès à l’interface graphique Web d’exécuter du code ou des commandes non autorisés via des requêtes HTTP spécialement conçues », a déclaré la société dans un avis.
La vulnérabilité, identifiée comme CVE-2022-39947 (score CVSS : 8,6) et découverte en interne par son équipe de sécurité produit, affecte les versions suivantes :
- FortiADC version 7.0.0 through 7.0.2
- FortiADC version 6.2.0 through 6.2.3
- FortiADC version 6.1.0 through 6.1.6
- FortiADC version 6.0.0 through 6.0.4
- FortiADC version 5.4.0 through 5.4.5
Il est recommandé aux utilisateurs de mettre à niveau vers les versions FortiADC 6.2.4 et 7.0.2 au fur et à mesure de leur disponibilité.
Les correctifs de janvier 2023 corrigent également un certain nombre de vulnérabilités d’injection de commandes dans FortiTester (CVE-2022-35845, score CVSS : 7,6) qui pourraient permettre à un attaquant authentifié d’exécuter des commandes arbitraires dans le shell sous-jacent.
Zoho expédie des correctifs pour une faille SQLi #
Le fournisseur de logiciels d’entreprise Zoho exhorte également les clients à passer aux dernières versions d’Access Manager Plus, PAM360 et Password Manager Pro suite à la découverte d’une grave vulnérabilité d’injection SQL (SQLi).
Attribué à l’identifiant CVE-2022-47523, le problème affecte les versions 4308 et inférieures d’Access Manager Plus ; PAM360 versions 5800 et inférieures ; et les versions 12200 et antérieures de Password Manager Pro.
« Cette vulnérabilité peut permettre à un adversaire d’exécuter des requêtes personnalisées et d’accéder aux entrées de la table de base de données à l’aide de la requête vulnérable », a déclaré la société basée en Inde, ajoutant qu’elle avait corrigé le bogue en ajoutant une validation appropriée et en échappant aux caractères spéciaux.
Bien que les détails exacts de la lacune n’aient pas été divulgués, les notes de publication de Zoho révèlent que la faille a été identifiée dans son cadre interne et qu’elle pourrait permettre à tous les utilisateurs « d’accéder à la base de données principale ».