雷神眾測漏洞周報(bào)2021.08.16-2021.08.22-4

2. Fortinet FortiWeb 授權(quán)操作系統(tǒng)命令注入漏洞

漏洞介紹：

Fortinet FortiWeb是一個(gè)Web應(yīng)用程序防火墻（WAF），旨在捕獲針對受保護(hù)Web應(yīng)用程序之前的已知和未知的漏洞。

漏洞危害：

攻擊者首先通過 FortiWeb 設(shè)備管理界面的身份驗(yàn)證，然后在 SAML 服務(wù)器配置頁面的“名稱”字段中使用反引號執(zhí)行命令，這些命令將以底層操作系統(tǒng)的 root 用戶身份執(zhí)行。

影響范圍：

Fortinet FortiWeb version <= 6.3.11

修復(fù)建議：

及時(shí)測試并升級到最新版本或升級版本

來源：NOSEC

4. Microsoft Windows/Windows Server遠(yuǎn)程代碼執(zhí)行漏洞

漏洞介紹：

Microsoft Windows和Microsoft Windows Server都是美國微軟（Microsoft）公司的產(chǎn)品。Microsoft Windows是一套個(gè)人設(shè)備使用的操作系統(tǒng)。Microsoft Windows Server是一套服務(wù)器操作系統(tǒng)。

漏洞危害：

Microsoft Windows/Windows Server中的Windows Media存在遠(yuǎn)程代碼執(zhí)行漏洞，攻擊者可利用該漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

漏洞編號：

CVE-2021-33740

影響范圍：

Microsoft Windows 10

Microsoft Windows Server 2019

Microsoft Windows 10 1809

Microsoft Windows Server 2004

Microsoft Windows 10 2004

修復(fù)建議：

及時(shí)測試并升級到最新版本

來源：CNVD