2022年第2期

【预警类型】高危预警

【预警内容】Fortinet FortiWeb安全漏洞

        近日，国家信息安全漏洞库（CNNVD）收到关于Fortinet FortiWeb 安全漏洞（CNNVD-202202-129、CVE-2021-43073）情况的报送。成功利用漏洞的攻击者，可向目标设备发送特殊请求，从而远程执行恶意代码。FortiWeb 6.4.1及其以下版本均受此漏洞影响。目前，Fortinet官方已发布新版本修复了该漏洞，请用户及时确认是否受到漏洞影响，尽快采取修补措施。

        一、漏洞介绍

        Fortinet FortiWeb是美国飞塔（Fortinet）公司的一款Web应用层防火墙，它能够阻断跨站点脚本、SQL注入、Cookie中毒等攻击的威胁，保证Web应用程序的安全性并保护敏感的数据库内容。漏洞源于FortiWeb对系统命令中的特殊元素处理不正确导致，攻击者可通过发送恶意HTTP 请求，对目标设备远程执行代码。

        二、危害影响

        成功利用漏洞的攻击者，可向目标设备发送特殊请求，从而远程执行恶意代码。FortiWeb 6.4.1及其以下版本均受此漏洞影响。

        三、修复建议

        目前，Fortinet官方已发布新版本修复了该漏洞，请用户及时确认是否受到漏洞影响，尽快采取修补措施。官方链接如下：

        https://fortiguard.com/psirt/FG-IR-21-158

        本通报由CNNVD技术支撑单位——北京华云安信息技术有限公司提供支持。

        CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。联系方式: cnnvdvul@itsec.gov.cn