Fortinet advirtió sobre una falla de alta gravedad que afecta a múltiples versiones del controlador de entrega de aplicaciones FortiADC que podría conducir a la ejecución de código arbitrario.
«Una neutralización inadecuada de elementos especiales utilizados en una vulnerabilidad de comando del sistema operativo en FortiADC puede permitir que un atacante autenticado con acceso a la GUI web ejecute código o comandos no autorizados a través de solicitudes HTTP específicamente diseñadas», dijo la compañía en un aviso.
La vulnerabilidad, rastreada como CVE-2022-39947 (puntuación CVSS: 8.6) y descubierta internamente por su equipo de seguridad del producto, afecta a las siguientes versiones:
- FortiADC versión 7.0.0 a 7.0.2
- FortiADC versión 6.2.0 a 6.2.3
- FortiADC versión 6.1.0 a 6.1.6
- FortiADC versión 6.0.0 a 6.0.4
- FortiADC versión 5.4.0 a 5.4.5
Se recomienda a los usuarios que actualicen a las versiones 6.2.4 y 7.0.2 de FortiADC cuando estén disponibles.
Los parches de enero de 2023 también abordan una serie de vulnerabilidades de inyección de comandos en FortiTester ( CVE-2022-35845 , puntaje CVSS: 7.6) que podrían permitir que un atacante autenticado ejecute comandos arbitrarios en el shell subyacente.
Zoho envía arreglos para una falla de SQLi
El proveedor de software empresarial Zoho también insta a los clientes a actualizar a las últimas versiones de Access Manager Plus, PAM360 y Password Manager Pro tras el descubrimiento de una vulnerabilidad grave de inyección SQL (SQLi).
Con el identificador CVE-2022-47523 asignado , el problema afecta a las versiones 4308 y anteriores de Access Manager Plus; PAM360 versiones 5800 e inferiores; y Password Manager Pro versiones 12200 e inferiores.
«Esta vulnerabilidad puede permitir que un adversario ejecute consultas personalizadas y acceda a las entradas de la tabla de la base de datos utilizando la solicitud vulnerable», dijo la compañía con sede en India , y agregó que solucionó el error al agregar la validación adecuada y caracteres especiales de escape.
Aunque no se han revelado los detalles exactos sobre la deficiencia, las notas de lanzamiento de Zoho revelan que la falla se identificó en su marco interno y que podría permitir a todos los usuarios «acceder a la base de datos de back-end».
Fuente y redacción: thehackernews.com
