CVE-2022-39947 est une nouvelle, vulnérabilité de sécurité de gravité élevée dans le produit FortiADC – un contrôleur avancé de livraison d'applications et de bases de données de Fortinet. La vulnérabilité est un problème d'injection de commande dans l'interface Web du produit, et a été noté 8.6 de 10 à l'échelle CVSS.
FortiADC améliore l'évolutivité, performance, et la sécurité des applications hébergées sur site ou dans le cloud. La vulnérabilité CVE-2022-39947 peut permettre à un attaquant authentifié ayant accès à l'interface graphique Web d'exécuter du code ou des commandes non autorisés via des requêtes HTTP spécialement conçues..
Quels produits la CVE-2022-39947 affecte-t-elle ??
Voici la liste des produits concernés et leurs versions, selon l'avis officiel de Fortinet:
- Version FortiADC 7.0.0 par 7.0.1
- Version FortiADC 6.2.0 par 6.2.3
- Version FortiADC 5.4.0 par 5.4.5
- FortiADC toutes versions 6.1
- FortiADC toutes versions 6.0
La vulnérabilité a été découverte en interne et signalée par Gwendal Guégniaud de Fortinet Product Security Team.
Il est à noter que les vulnérabilités d'injection de commandes se produisent lorsqu'un attaquant est capable d'exécuter des commandes système sur une application vulnérable.. Ce type d'attaque peut permettre à un attaquant de prendre le contrôle de l'application, accéder aux données sensibles, ou même manipuler le système. Ces vulnérabilités peuvent être exploitées via des champs de saisie, formulaires Web, ou URL.
Les parties concernées doivent appliquer les correctifs disponibles Dès que possible.
Les entreprises de toutes tailles sont exposées à diverses vulnérabilités de sécurité. Avec tant d'informations et de données confidentielles, il est essentiel que les organisations prennent des mesures proactives pour protéger leurs activités contre les menaces de sécurité potentielles.