近日,，國家信息安全漏洞庫（CNNVD）收到關(guān)于Fortinet FortiWeb 安全漏洞（CNNVD-202202-129,、CVE-2021-43073）情況的報(bào)送,。成功利用漏洞的攻擊者，可向目標(biāo)設(shè)備發(fā)送特殊請求,，從而遠(yuǎn)程執(zhí)行惡意代碼,。FortiWeb 6.4.1及其以下版本均受此漏洞影響。目前,，F(xiàn)ortinet官方已發(fā)布新版本修復(fù)了該漏洞,，請用戶及時(shí)確認(rèn)是否受到漏洞影響，盡快采取修補(bǔ)措施,。

　　一,、漏洞介紹

　　Fortinet FortiWeb是美國飛塔（Fortinet）公司的一款Web應(yīng)用層防火墻，它能夠阻斷跨站點(diǎn)腳本,、SQL注入,、Cookie中毒等攻擊的威脅，保證Web應(yīng)用程序的安全性并保護(hù)敏感的數(shù)據(jù)庫內(nèi)容,。漏洞源于FortiWeb對系統(tǒng)命令中的特殊元素處理不正確導(dǎo)致,，攻擊者可通過發(fā)送惡意HTTP 請求,，對目標(biāo)設(shè)備遠(yuǎn)程執(zhí)行代碼。

　　二,、危害影響

　　成功利用漏洞的攻擊者,，可向目標(biāo)設(shè)備發(fā)送特殊請求，從而遠(yuǎn)程執(zhí)行惡意代碼,。FortiWeb 6.4.1及其以下版本均受此漏洞影響,。

　　三、修復(fù)建議

　　目前,，F(xiàn)ortinet官方已發(fā)布新版本修復(fù)了該漏洞,，請用戶及時(shí)確認(rèn)是否受到漏洞影響，盡快采取修補(bǔ)措施,。官方鏈接如下：

　　https://fortiguard.com/psirt/FG-IR-21-158

　　本通報(bào)由CNNVD技術(shù)支撐單位——北京華云安信息技術(shù)有限公司提供支持,。

　　CNNVD將繼續(xù)跟蹤上述漏洞的相關(guān)情況，及時(shí)發(fā)布相關(guān)信息,。如有需要,，可與CNNVD聯(lián)系。聯(lián)系方式： [email protected]