2022年第2期
【预警类型】高危预警
【预警内容】Fortinet FortiWeb安全漏洞
近日,国家信息安全漏洞库(CNNVD)收到关于Fortinet FortiWeb 安全漏洞(CNNVD-202202-129、CVE-2021-43073)情况的报送。成功利用漏洞的攻击者,可向目标设备发送特殊请求,从而远程执行恶意代码。FortiWeb 6.4.1及其以下版本均受此漏洞影响。目前,Fortinet官方已发布新版本修复了该漏洞,请用户及时确认是否受到漏洞影响,尽快采取修补措施。
一、漏洞介绍
Fortinet FortiWeb是美国飞塔(Fortinet)公司的一款Web应用层防火墙,它能够阻断跨站点脚本、SQL注入、Cookie中毒等攻击的威胁,保证Web应用程序的安全性并保护敏感的数据库内容。漏洞源于FortiWeb对系统命令中的特殊元素处理不正确导致,攻击者可通过发送恶意HTTP 请求,对目标设备远程执行代码。
二、危害影响
成功利用漏洞的攻击者,可向目标设备发送特殊请求,从而远程执行恶意代码。FortiWeb 6.4.1及其以下版本均受此漏洞影响。
三、修复建议
目前,Fortinet官方已发布新版本修复了该漏洞,请用户及时确认是否受到漏洞影响,尽快采取修补措施。官方链接如下:
https://fortiguard.com/psirt/FG-IR-21-158
本通报由CNNVD技术支撑单位——北京华云安信息技术有限公司提供支持。
CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。联系方式: cnnvdvul@itsec.gov.cn