Fortinet kompaniýasy web programmalary goramak üçin niýetlenen FortiWeb torara ekranyň gowşaklygyny düzetdi we bu meseläni ýüze çykaran Positive Technologies bilermeni Andreý Medowa minnetdarlyk bildirdi.

Ýalňyşlyk üçin CVE-2021-22123 identifikatory bilen ýokary derejede howply diýip CVSSv3 görkezijisi boýunça 7.4 derejesi berildi.

«FortiWeb-yň dolandyryş interfeýsinde buýruklary girizmek gowşaklygy autentifikasiýa barlagyndan geçen ýaramaz niýetli ulanyjy üçin uzaklykdan SAML serwer konfigurasiýa sahypasynyň üsti bilen ulgamda islendik buýruklary ýerine ýetirmek mümkinçiligini berip bilýär. Buýruklary iň ýokary hukuklar bilen ýerine ýetirmek serweri ele geçirmek mümkinçiligni döredýär. Nädogry sazlamalaryň netijesinde torara ekranyň dolandyryş interfeýsi internetde açyk bolup, önümiň özi hem iň soňky wersiýalaryna täzelenmedik ýagdaýynda, CVE-2021-22123 gowşaklygy bilen öň ýüze çykarylan CVE-2020-29015 ýalňyşlyk bilen bilelikde ulanylmagy içerki tora girmek mümkinçiligini döreder», - diýip Andreý Medow beýan edýär.

Gowşaklygy düzetmek üçin FortiWeb 6.3.7 (we has irki), 6.2.3 (we has irki), 6.1.x, 6.0.x, 5.9.x wersiýalaryny 6.3.8 ýa-da 6.2.4 wersiýalaryna (ulanylýan önümiň wersiýasyna baglylykda) täzelemegi maslahat berilýär.

Çeşme: anti-malware.ru