近日,网络安全公司WatchTowr与安全研究员faulty *ptrrr发布了Fortinet FortiWeb的一项关键漏洞的概念验证利用代码。该漏洞允许未经认证的远程代码执行,严重程度评分为9.8/10。此漏洞涉及FortiWeb的Fabric Connector软件,通过精心构造的HTTP请求,攻击者可在Authorization头中注入自定义SQL,绕过认证检查并执行未经授权的SQL代码。
Fortinet已在最新版本FortiWeb 7.6.4、7.4.8、7.2.11和7.0.11中修复了该漏洞。管理员被强烈建议尽快安装补丁,以防止服务器被攻击。