Fecha de publicaciĂłn: 04/08/2021
Importancia:
CrĂtica
Recursos afectados:
FortiPortal, versiones:
- 6.0.4 y anteriores,
- 5.3.5 y anteriores,
- 5.2.5 y anteriores,
- 5.1.2 y anteriores,
- 5.0.3 y anteriores,
- 4.2.4 y anteriores,
- 4.1.2 y anteriores,
- 4.0.4 y anteriores,
- 3.2.2 y anteriores,
- 5.0.x,
- 5.1.x.
DescripciĂłn:
Ben Knight, de CyberCX New Zealand, y Giuseppe Cocomazzi, del equipo Fortinet Product Security, han reportado 2 vulnerabilidades, ambas de severidad crĂtica, que podrĂan permitir a un atacante omitir la autenticaciĂłn, ejecutar comandos como root, ejecutar cĂłdigo arbitrario o divulgar informaciĂłn.
SoluciĂłn:
Actualizar FortiPortal a las versiones:
- 5.2.6 o posteriores,
- 5.3.6 o posteriores,
- 6.0.5 o posteriores.
Las correcciones para las versiones 5.1, 5.0, 4.2, 4.1, 4.0 y 3.2 estĂĄn por confirmar.
Detalle:
- El uso de credenciales embebidas podrĂa permitir a un atacante, remoto y no autenticado, ejecutar comandos no autorizados como root al cargar y desplegar archivos comprimidos de aplicaciones web maliciosas, utilizando el nombre de usuario y la contraseña predeterminados del Tomcat Manager. Se ha asignado el identificador CVE-2021-32588 para esta vulnerabilidad.
- Una vulnerabilidad de inyecciĂłn SQL podrĂa permitir a un atacante, con privilegios de usuario bĂĄsico, ejecutar comandos arbitrarios en la base de datos SQL subyacente a travĂ©s de solicitudes HTTP especĂficamente diseñadas. Se ha asignado el identificador CVE-2021-32590 para esta vulnerabilidad.
Etiquetas:
ActualizaciĂłn, Comunicaciones, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.