Inyección de comando no autenticado en FortiTester
Fecha de publicación 11/10/2022
Identificador
INCIBE-2022-0961
Importancia
5 - Crítica
Recursos Afectados
- FortiTester, versiones:
- 7.1.0 y 7.0.0;
- 4.2.0, 4.1.0 hasta 4.1.1 y 4.0.0;
- 3.9.0 hasta 3.9.1, 3.8.0, 3.7.0 hasta 3.7.1, 3.6.0, 3.5.0 hasta 3.5.1, 3.4.0, 3.3.0 hasta 3.3.1, 3.2.0, 3.1.0 y 3.0.0:
- 2.9.0, 2.8.0, 2.7.0, 2.6.0, 2.5.0, 2.4.0 hasta 2.4.1 y 2.3.0.
Descripción
Fortinet ha notificado una vulnerabilidad crítica en su producto FortiTester que podría permitir a un atacante remoto no autenticado ejecutar un comando arbitrario en el shell subyacente.
Solución
- Actualizar FortiTester a las siguientes versiones:
- 7.2.0 o superior,
- 7.1.1 o superior,
- 4.2.1 o superior,
- 3.9.2 o superior.
Detalle
La neutralización inadecuada de elementos especiales utilizados en un comando del sistema operativo ('OS Command Injection') en los componentes de inicio de sesión de consola, Telnet y SSH de FortiTester podría permitir a un atacante remoto no autenticado ejecutar un comando arbitrario en el shell subyacente. Se ha asignado el identificador CVE-2022-33873 para esta vulnerabilidad.
Listado de referencias
