CVE-2022-39952
CVE-2022-39952
Em resumo
O Fortinet FortiNAC possui uma falha em que um invasor pode manipular caminhos de arquivos através de requisições especialmente criadas, permitindo executar código não autorizado sem precisar fazer login. Isso é crítico porque concede controle total do sistema afetado ao invasor.
Detalhe técnico
Uma vulnerabilidade de manipulação de caminho de arquivo (CWE-73) no FortiNAC permite que atacantes não autenticados executem código arbitrário enviando requisições HTTP especialmente criadas que manipulam parâmetros de nome ou caminho de arquivo. A falha afeta múltiplas versões e não requer autenticação, permitindo execução remota de código com impacto crítico na integridade e confidencialidade do sistema.
Resumo gerado e traduzido por IA a partir da descrição oficial.
A external control of file name or path in Fortinet FortiNAC versions 9.4.0, 9.2.0 through 9.2.5, 9.1.0 through 9.1.7, 8.8.0 through 8.8.11, 8.7.0 through 8.7.6, 8.6.0 through 8.6.5, 8.5.0 through 8.5.4, 8.3.7 may allow an unauthenticated attacker to execute unauthorized code or commands via specifically crafted HTTP request.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:H/RL:U/RC:C
Produtos afetados
Fortinet · FortiNACPoCs públicas encontradas — 4
githubgithub.com/horizon3ai/CVE-2022-39952★ 265githubgithub.com/Chocapikk/CVE-2022-39952★ 3githubgithub.com/shiyeshu/CVE-2022-39952_webshell★ 2githubgithub.com/dkstar11q/CVE-2022-39952-better★ 0⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://fortiguard.com/psirt/FG-IR-22-300