一、基本情况
近日,Fortinet发布1月安全更新公告,修复了FortiWeb、FortiDeceptor产品及应用存在6处漏洞,其中FortiDeceptor命令注入漏洞威胁风险较高,对应CVE编号:CVE-2020-29017,攻击者可利用该漏洞在目标系统上执行任意shell命令。目前,官方已发布新版本修复该漏洞,建议受影响用户及时至最新版本,并做好资产自查以及预防工作,以免遭受黑客攻击。 |
二、漏洞等级
高危 |
三、漏洞描述
Fortinet FortiDeceptor是美国飞塔(Fortinet)公司的一款网络威胁检测平台。该平台主要通过欺骗技术暴露网络威胁等。 FortiDeceptor 3.0.1和3.1.0及以下版本存在命令注入漏洞,经身份验证的攻击者通过构造恶意页面在目标系统上执行任意shell命令。 |
四、影响范围
FortiDeceptor <= 3.0.1 FortiDeceptor <= 3.1.0 |
五、安全建议
Fortinet官方建议用户尽快将FortiDeceptor版本升级至相对应安全版本: FortiDeceptor >=3.2.0 FortiDeceptor >=3.1.1 FortiDeceptor >=3.0.2 |
六、参考链接
https://www.fortiguard.com/psirt/FG-IR-20-177 https://www.fortiguard.com/psirt?date=01-2021 |
支持单位:
中国信息通信研究院
声明:本文来自网络安全威胁和漏洞信息共享平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
