Der Security-Spezialist
Fortinet informiert über zwei kritische Sicherheitslücken, betroffen sind die Network-Access-Control-Lösung (NAC) FortiNAC und die Web Application Firewall Fortiweb. Die Schwachstellen erlauben das Ausführen von beliebigem Code oder von Befehlen.
Die Lücke in FortiNAC läuft unter CVE-2022-39952 und ist mit einem CVSS Score von 9.8 als hochkritisch anzusehen. Bei Fortiweb geht es um die
Schwachstelle CVE-2021-42756, auch sie gilt als kritisch (CVSS Score 9.3) und wurde offenbar schon 2021 entdeckt, aber erst jetzt mit einem Patch behoben.
Von der FortiNAC-Lücke sind die Produktversionen 8.3 bis 9.4.0 betroffen, bei Fortiweb geht es um die Versionen 5.x bis 6.4. Für beide Schwachstellen hat Fortinet jeweils gepatchte Versionen bereitgestellt. FortiNAC 9.4.1 und neuer, 9.2.6 und neuer, 9.1.8 und neuer sowie 7.2.0 und neuer sind auf dem aktuellen Stand. Bei Fortiweb heissen die aktualisierten Versionen 7.0.0 und neuer, 6.3.17 und neuer, 6.2.7 und neuer, 6.1.3 und neuer sowie 6.0.8 und neuer. Einen Workaround gibt es nicht – es empfiehlt sich, möglichst umgehend auf eine der gepatchten Versionen umzusteigen.
(ubi)
