Alertas
Vulnerabilidad de inyección SQL en FortiWAN (CVE-2021-26114)
Se ha encontrado una nueva vulnerabilidad en FortiWAN (CVE-2021-26114) que permite a un atacante remoto ejecutar consultas SQL arbitrarias en la base de datos. [1]
06 Abr 2022
ANÁLISIS
La vulnerabilidad existe debido a la insuficiente sanitización de los datos suministrados por el usuario. Un atacante remoto no autenticado puede enviar una solicitud especialmente diseñada a la aplicación afectada y ejecutar comandos SQL arbitrarios dentro de la base de datos de la aplicación.
La explotación exitosa de esta vulnerabilidad puede permitir a un atacante remoto leer, borrar, modificar datos en la base de datos y obtener el control completo de la aplicación afectada.
Las versiones de software vulnerables de FortiWAN son 4.5.0 - 4.5.8
Esta vulnerabilidad tiene una puntuación CVSS:3.1 de 8.5.
RECOMENDACIONES
Actualice a FortiWAN 4.5.9 o superior. [2]
REFERENCIAS
[1] Multiple vulnerabilities in FortiWAN (cybersecurity-help.cz)
[2] PSIRT Advisories | FortiGuard