Fortinet FortiWeb OS Command Injection allows takeover servers remotely 2021년 8월 17일 Fortinet이 FortiWeb WAF 설치를 실행하는 서버를 완전히 제어할 수 있는 명령 주입 취약점을 수정했으며 8월 말에 출시할 계획이라 밝혔습니다. 인증된 공격자는 SAML 서버 구성 페이지를 통해 기본 시스템에서 루트 사용자로 임의의 명령을 실행할 수 있습니다. 전문가들은 이 취약점이 공격자가 허용할 수 있는 인증 우회 취약점(CVE-2020-29015)과 연결될 수 있다고 지적했습니다. 이 취약점은 Fortinet FortiWeb 버전 6.3.11 및 이전 버전에 영향을 미치며 인증된 공격자는 이 취약점을 악용하여 취약한 버전의 FortiWe..

국내외 보안동향 2021. 8. 18. 11:40

Multiple flaws in Fortinet FortiWeb WAF could allow corporate networks to hack Positive Technologies의 보안 연구원인 Andrey Medov가 Fortinet의 FortiWeb 웹 애플리케이션 방화벽(WAF)에서 공격자가 악용할 경우 기업 네트워크에 침투할 수 있는 치명적인 취약점 다수를 발견했습니다. CVE-2020-29015, CVE-2020-29016, CVE-2020-29018, CVE-2020-29019로 등록된 이 취약점은 Fortinet의 보안 패치를 통해 수정되었습니다. 이 취약점은 blind SQL 주입, 스택 기반 버퍼 오버플로우 이슈, 포맷 스트링(format string) 취약점으로 승인되지 않은 코드나 ..

국내외 보안동향 2021. 1. 8. 09:00