La primera vulnerabilidad, es una falla de neutralización incorrecta de la entrada durante la generación de la página web («Cross-site Scripting») en FortiNAC, identificada como CVE-2022-40676 (CVSS de 7.1). Puede permitir que un usuario autenticado realice un ataque XSS a través de solicitudes HTTP manipuladas.
La segunda vulnerabilidad, es una falla de administración de privilegios incorrecta en FortiNAC, identificada como CVE-2022-39953 (CVSS de 7.8). Puede permitir que un usuario local de privilegios bajos con acceso de shell ejecute comandos arbitrarios como root.
Productos afectados
- FortiNAC versión 9.4.0 a 9.4.1
- FortiNAC versión 9.2.0 a 9.2.6
- FortiNAC versión 9.1.0 a 9.1.8
- FortiNAC todas las versiones 8.8, 8.7, 8.6, 8.5, 8.3
Soluciones
- Actualice a FortiNAC versión 9.4.2 o superior
- Actualice a FortiNAC versión 9.2.7 o superior
- Actualice a FortiNAC versión 9.1.9 o superior
- Actualice a FortiNAC versión 7.2.0 o superior
Recomendaciones
- Realizar lo antes posible las actualizaciones de seguridad respectivas.
Referencias