Krytyczna luka SQL Injection w Fortinet FortiWLM umożliwia wykonanie nieautoryzowanych poleceń

Krytyczna luka SQL Injection w Fortinet FortiWLM pozwala na zdalne wykonanie kodu. Sprawdź zalecenia bezpieczeństwa i aktualizacje producenta.
CVE-2023-34991CVSS 9.8Firewall

Krytyczna luka SQL Injection w Fortinet FortiWLM umożliwia wykonanie nieautoryzowanych poleceń

Krytyczna luka SQL Injection w Fortinet FortiWLM pozwala na zdalne wykonanie kodu. Sprawdź zalecenia bezpieczeństwa i aktualizacje producenta.

CVSS
9.8 CRITICAL
EPSS
97.91%
Aktywnie wykorzystywana
brak w KEV
Produkt
fortiwlm

Co wiadomo

W Fortinet FortiWLM w wersjach od 8.2.2 do 8.6.5 wykryto krytyczną lukę SQL Injection, która pozwala atakującemu na wykonanie nieautoryzowanego kodu lub poleceń poprzez specjalnie spreparowane żądanie HTTP. Luka ta wynika z niewłaściwego neutralizowania elementów specjalnych w poleceniach SQL.

Wpływ biznesowy

Luka o wysokim poziomie krytyczności (CVSS 9.8) może prowadzić do przejęcia kontroli nad systemem FortiWLM, co zagraża integralności i dostępności infrastruktury sieciowej. Operatorzy IT i właściciele infrastruktury powinni traktować tę podatność priorytetowo, ponieważ umożliwia ona zdalne wykonanie kodu bez uwierzytelnienia, co może skutkować poważnymi naruszeniami bezpieczeństwa.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji bezpieczeństwa od producenta Fortinet dla FortiWLM oraz ich szybkie wdrożenie. W międzyczasie warto ograniczyć ekspozycję urządzenia na nieznane sieci, monitorować logi pod kątem podejrzanych żądań HTTP oraz stosować zasady minimalnego dostępu. Priorytetem jest szybka weryfikacja i załatanie podatności, aby zapobiec potencjalnym atakom.

Źródła

Alerty bezpieczeństwa

Dostawaj alerty CVE zanim staną się incydentem

Wysyłamy wybrane zagrożenia infrastrukturalne po polsku, z praktycznym komentarzem dla środowisk DataHouse.

  • DataHouse: administracja serwerów i bezpieczna chmura
  • Hostilla.pl: hosting i usługi pocztowe
  • SecDNS.pl: bezpłatna warstwa bezpieczeństwa DNS