【漏洞通告】Fortinet FortiNAC 远程代码执行漏洞(CVE-2022-39952)

深瞳漏洞实验室 深信服千里目安全技术中心 2023-02-22 18:07

漏洞名称：

Fortinet FortiNAC 远程代码执行漏洞(CVE-2022-39952)

组件名称：

Fortinet FortiNAC

影响范围：

FortiNAC 9.4.0

FortiNAC 9.2.x ≤ 9.2.5

FortiNAC 9.1.x
≤ 9.1.7

FortiNAC 8.8.x

FortiNAC 8.7.x

FortiNAC 8.6.x

FortiNAC 8.5.x

FortiNAC 8.3.x

漏洞类型：

远程代码执行

利用条件：

1、用户认证：未知2、前置条件：未知3、触发方式：远程

综合评价：

<综合评定利用难度>：未知。

<综合评定威胁等级>：高危，能造成远程代码执行或拒绝服务。

官方解决方案：

已发布

漏洞分析

组件介绍

FortiNAC(Network Access Control)是 Fortinet 推出的一种零信任网络访问控制解决方案，可增强用户对企业网络上的物联网 (IoT) 设备的监控。

漏洞简介

2023 年 2 月 22 日，深信服安全团队监测到一则 Fortinet FortiNAC 存在远程代码执行漏洞的信息，漏洞编号：CVE-2022-39952，漏洞威胁等级：高危。

该漏洞是由于 FortiNAC keyUpload 脚本中存在路径遍历漏洞，未经身份认证的远程攻击者可利用此漏洞向目标系统写入任意代码，最终可在目标系统上以 Root 权限执行任意命令。

影响范围

目前受影响的Fortinet FortiNAC版本：

FortiNAC 9.4.0

FortiNAC 9.2.x
≤ 9.2.5

FortiNAC 9.1.x
≤ 9.1.7

FortiNAC 8.8.x

FortiNAC 8.7.x

FortiNAC 8.6.x

FortiNAC 8.5.x

FortiNAC 8.3.x

解决方案

官方修复建议

当前官方已发布最新版本，建议受影响的用户联系官方及时更新升级到最新版本。链接如下：

https://www.fortiguard.com/

参考链接

https://www.fortiguard.com/psirt/FG-IR-22-300

时间轴

2023/2/21

深信服监测到 Fortinet FortiNAC 漏洞信息。

2023/2/22

深信服千里目安全技术中心发布漏洞通告。

点击阅读原文，及时关注并登录深信服智安全平台，可轻松查询漏洞相关解决方案。