Fortinet และ Zoho ManageEngine ประกาศแจ้งเตือนช่องโหว่ใหม่ แนะนำให้รีบอัปเดตโดยด่วน

ช่องโหว่ FortiADC

Fortinet ประกาศการพบช่องโหว่ใหม่ใน FortiADC (Application Delivery Controller) หมายเลข CVE-2022-39947 (คะแนน CVSS: 8.6 ระดับความรุนแรงสูง) ซึ่งเป็นช่องโหว่ของคำสั่ง OS ใน FortiADC ที่ทำให้ผู้โจมตีที่สามารถเข้าถึง web GUI สามารถสั่งรันโค้ด หรือคำสั่งที่ไม่ได้รับอนุญาตผ่านทาง HTTP requests ที่ถูกสร้างขึ้นมาเป็นพิเศษได้โดยไม่ต้องผ่านการตรวจสอบสิทธิ

โดยมีผลกระทบต่อเวอร์ชันต่อไปนี้

FortiADC เวอร์ชัน 7.0.0 ถึง 7.0.2
FortiADC เวอร์ชัน 6.2.0 ถึง 6.2.3
FortiADC เวอร์ชัน 6.1.0 ถึง 6.1.6
FortiADC เวอร์ชัน 6.0.0 ถึง 6.0.4
FortiADC เวอร์ชัน 5.4.0 ถึง 5.4.5
ทาง Fortinet แนะนำให้ผู้ใช้อัปเกรดเป็น FortiADC เวอร์ชัน 6.2.4 และ 7.0.2 เพื่อปิดช่องโหว่โดยด่วน

ช่องโหว่ ManageEngine

Zoho ManageEngine ได้ประกาศการพบช่องโหว่ใหม่ใน Password Manager Pro, PAM360 และ Access Manager Plus หมายเลข CVE-2022-47523 (ระดับความรุนแรงสูง) ซึ่งเป็นช่องโหว่ SQL Injection ที่ทำให้ผู้โจมตีสามารถเข้าถึงฐานข้อมูลได้

โดยมีผลกระทบต่อเวอร์ชันต่อไปนี้

ManageEngine Password Manager Pro เวอร์ชัน 12200 หรือต่ำกว่า
ManageEngine PAM360 เวอร์ชัน 5800 หรือต่ำกว่า
ManageEngine Access Manager Plus เวอร์ชัน 4308หรือต่ำกว่า
โดยทาง Zoho ManageEngine แนะนำให้ผู้ใช้ซอฟต์แวร์เวอร์ชันที่มีช่องโหว่รีบอัปเดตเพื่อปิดช่องโหว่โดยด่วน

ที่มา : thehackernews.