Inicio / Alerta Temprana / Avisos Seguridad / Inyección de comando no autenticado en FortiTester

Inyección de comando no autenticado en FortiTester

Fecha de publicación: 
11/10/2022
Identificador: 
INCIBE-2022-0961
Importancia: 
5 - Crítica
Recursos afectados: 
  • FortiTester, versiones:
    • 7.1.0 y 7.0.0;
    • 4.2.0, 4.1.0 hasta 4.1.1 y 4.0.0;
    • 3.9.0 hasta 3.9.1, 3.8.0, 3.7.0 hasta 3.7.1, 3.6.0, 3.5.0 hasta 3.5.1, 3.4.0, 3.3.0 hasta 3.3.1, 3.2.0, 3.1.0 y 3.0.0:
    • 2.9.0, 2.8.0, 2.7.0, 2.6.0, 2.5.0, 2.4.0 hasta 2.4.1 y 2.3.0.
Descripción: 

Fortinet ha notificado una vulnerabilidad crítica en su producto FortiTester que podría permitir a un atacante remoto no autenticado ejecutar un comando arbitrario en el shell subyacente.

Solución: 
  • Actualizar FortiTester a las siguientes versiones:
    • 7.2.0 o superior,
    • 7.1.1 o superior,
    • 4.2.1 o superior,
    • 3.9.2 o superior.
Detalle: 

La neutralización inadecuada de elementos especiales utilizados en un comando del sistema operativo ('OS Command Injection') en los componentes de inicio de sesión de consola, Telnet y SSH de FortiTester podría permitir a un atacante remoto no autenticado ejecutar un comando arbitrario en el shell subyacente. Se ha asignado el identificador CVE-2022-33873 para esta vulnerabilidad.

Encuesta valoración