Fortinet FortiWeb web-programmalaryň torara ekranynda (WAF) ýüze çykarylan buýruklary girizmek mümkinçiligini berýän 0-day gowşaklygy awgust aýynyň ahyrynda düzetmäge meýilleşdirýär. Gowşaklyk üçin CVE-2021-22123 identifikatory berildi. Gowşaklygyň üstünlikli ulanylmagy autentifikasiýa barlagyndan geçen ýaramaz niýetli ulanyjy üçin SAML serwer sazlamalary sahypasynyň üsti bilen esasy ulgamda root ulanyjysy hökmünde islendik buýruklary ýerine ýetirmek mümkinçiligini berýär.

Bu gowşaklykdan peýdalanmak üçin nyşana alnan FortiWeb enjamyň dolandyryş interfeýsinde autentifikasiýa barlagy geçmelidigine garamazdan, ýaramaz niýetli ulanyjy gowşak serwerleri ele geçirmek maksady bilen CVE-2020-29015 belgili autentifikasiýa barlagy aýlanyp geçmek gowşaklygy bilen bilelikde ulanmak arkaly bu gowşaklykdan peýdalanyp biler.

Fortinet howpsuzlyk maslahatyna görä, bu ýalňyşlygy ulanmak arkaly amala aşyrylýan dürli zyýanly hereketlerden goranmak üçin düzedişiň çykýan pursadyna çenli administratorlara FortiWeb enjamlarynyň dolandyryş interfeýsine ygtybarsyz torlardan girmek mümkinçiligini petiklemäge maslahat berilýär.

Çeşme: bleepingcomputer.com