Fortinet ประกาศการพบช่องโหว่ใหม่ใน FortiADC (Application Delivery Controller) หมายเลข CVE-2022-39947 (คะแนน CVSS: 8.6 ระดับความรุนแรงสูง) ซึ่งเป็นช่องโหว่ของคำสั่ง OS ใน FortiADC ที่ทำให้ผู้โจมตีที่สามารถเข้าถึง web GUI สามารถสั่งรันโค้ด หรือคำสั่งที่ไม่ได้รับอนุญาตผ่านทาง HTTP requests ที่ถูกสร้างขึ้นมาเป็นพิเศษได้โดยไม่ต้องผ่านการตรวจสอบสิทธิ
โดยมีผลกระทบต่อเวอร์ชันต่อไปนี้
- FortiADC เวอร์ชัน 7.0.0 ถึง 7.0.2
- FortiADC เวอร์ชัน 6.2.0 ถึง 6.2.3
- FortiADC เวอร์ชัน 6.1.0 ถึง 6.1.6
- FortiADC เวอร์ชัน 6.0.0 ถึง 6.0.4
- FortiADC เวอร์ชัน 5.4.0 ถึง 5.4.5
ทาง Fortinet แนะนำให้ผู้ใช้อัปเกรดเป็น FortiADC เวอร์ชัน 6.2.4 และ 7.0.2 เพื่อปิดช่องโหว่โดยด่วน
ช่องโหว่ ManageEngine
Zoho ManageEngine ได้ประกาศการพบช่องโหว่ใหม่ใน Password Manager Pro, PAM360 และ Access Manager Plus หมายเลข CVE-2022-47523 (ระดับความรุนแรงสูง) ซึ่งเป็นช่องโหว่ SQL Injection ที่ทำให้ผู้โจมตีสามารถเข้าถึงฐานข้อมูลได้
โดยมีผลกระทบต่อเวอร์ชันต่อไปนี้
- ManageEngine Password Manager Pro เวอร์ชัน 12200 หรือต่ำกว่า
- ManageEngine PAM360 เวอร์ชัน 5800 หรือต่ำกว่า
- ManageEngine Access Manager Plus เวอร์ชัน 4308หรือต่ำกว่า
โดยทาง Zoho ManageEngine แนะนำให้ผู้ใช้ซอฟต์แวร์เวอร์ชันที่มีช่องโหว่รีบอัปเดตเพื่อปิดช่องโหว่โดยด่วน
ไม่มีความคิดเห็น:
แสดงความคิดเห็น