Fortinet und Zoho fordern Kunden eilig aufwärts, Sicherheitslücken in Unternehmenssoftware zu patchen
[ad_1]
Fortinet hat vor einem schwerwiegenden Fehler gewarnt, jener mehrere Versionen des Application Delivery Controller FortiADC betrifft und zur Erläuterung willkürlichen Codes resultieren könnte.
„Eine unsachgemäße Neutralisierung spezieller Elemente, die in einer Schwachstelle für jedes Betriebssystembefehle in FortiADC verwendet werden, kann es einem authentifizierten Angreifer mit Zugriff aufwärts die Web-GUI zuteilen, nicht autorisierten Kode oder Befehle übrig speziell gestaltete Hypertext Transfer Protocol-Anforderungen auszuführen“, sagte dasjenige Unternehmen in einer Tipp.
Die Schwachstelle, die wie CVE-2022-39947 (CVSS-Ordnung: 8,6) verfolgt und intern vom Produktsicherheitsteam entdeckt wurde, wirkt sich aufwärts die folgenden Versionen aus –
- FortiADC-Version 7.0.0 solange bis 7.0.2
- FortiADC-Version 6.2.0 solange bis 6.2.3
- FortiADC-Version 6.1.0 solange bis 6.1.6
- FortiADC-Version 6.0.0 solange bis 6.0.4
- FortiADC-Version 5.4.0 solange bis 5.4.5
Benutzern wird empfohlen, aufwärts die FortiADC-Versionen 6.2.4 und 7.0.2 zu updaten, sowie welche verfügbar sind.
Die Januar-2023-Patches angehen selbst eine Warteschlange von Command Injection-Schwachstellen in FortiTester (CVE-2022-35845, CVSS-Score: 7,6), die es einem authentifizierten Angreifer zuteilen könnten, irgendwelche Befehle in jener zugrunde liegenden Shell auszuführen.
Zoho liefert Korrekturen für jedes verknüpfen SQLi-Fehler aus
Jener Provider von Unternehmenssoftware, Zoho, fordert seine Kunden außerdem eilig aufwärts, aufwärts die neuesten Versionen von Access Manager Plus, PAM360 und Password Manager Pro zu updaten, nachdem eine schwerwiegende Sicherheitslücke durch SQL-Injection (SQLi) entdeckt wurde.
Dies Problem mit jener Kennung CVE-2022-47523 betrifft die Access Manager Plus-Versionen 4308 und darunter; PAM360-Versionen 5800 und darunter; und Password Manager Pro-Versionen 12200 und darunter.
„Jene Schwachstelle kann es einem Angreifer zuteilen, benutzerdefinierte Hereinholen auszuführen und mit jener anfälligen Antrag aufwärts die Datenbanktabelleneinträge zuzugreifen“, sagte dasjenige in Indien ansässige Unternehmen und fügte hinzu, es habe den Fehler behoben, während eine ordnungsgemäße Validierung hinzugefügt und Zusatzzeichen maskiert wurden.
Obwohl keine genauen Einzelheiten übrig den Not prestigevoll gegeben wurden, zeigen die Versionshinweise von Zoho, dass jener Fehler in seinem internen Rahmen identifiziert wurde und dass er allen Benutzern den „Zugriff aufwärts die Backend-Elektronischer Karteikasten“ zuteilen könnte.
[ad_2]