Компания Fortinet выпустила обновления для своих решений для управления сетью FortiManager и FortiAnalyzer, исправляющие опасную уязвимость (CVE-2021-32589). Эксплуатация проблемы позволяет выполнить произвольный код с наивысшими привилегиями.

FortiManager и FortiAnalyzer представляют собой решения для управления сетью корпоративного уровня для сред с количеством устройств до 100 тыс. Организации могут использовать продукты для управления развертыванием и настройкой устройств в сети, а также для сбора и анализа созданных журналов для выявления и устранения угроз.

Уязвимость использования после освобождения в демоне fgfmsd продуктов FortiManager и FortiAnalyzer связана с использованием программами некорректно помеченного раздела памяти как свободного. Отправка специально созданного запроса на порт FGFM устройства может позволить удаленному неавторизованному злоумышленнику выполнить неавторизованный код с правами суперпользователя.

Дополнительная информация об уязвимости и обновлениях доступна в рекомендации по безопасности Fortinet – FG-IR-21-067.

Источник: securitylab.ru