提供永久免费的API接口，查看更多API接口，如果您有其他免费API资源，请联系我们，造福人类。

定制开发，免费评估，免费咨询，价格便宜，售后保障，前往开发服务中心或联系开发客服中心

周二，在网络安全公司Rapid7发布了一份关于Fortinet产品漏洞的报告后，一场纠纷爆发了。该公司还没有来得及发布解决该问题的补丁。Rapid7的一名研究人员William Vu说，在FortiWeb 6.3.11及更早版本的管理界面中发现操作系统命令注入漏洞。该漏洞允许远程经过身份验证的攻击者通过SAML服务器配置页面在系统上执行任意命令。

Rapid7说，该漏洞与CVE-2021-22123有关，该漏洞在FG-IR-20-120中得到了解决。该公司补充说，在没有补丁的情况下，用户应“从不受信任的网络禁用FortiWeb设备的管理界面，这将包括互联网。”

该报告包括一个时间表，称Rapid7于6月就漏洞联系了Fortinet，并于6月11日得到了Fortinet的承认。Rapid7声称，在周二公开发布该报告之前，他们再也没有收到过Fortinet的消息。

一名Fortinet发言人随后联系了ZDNet发布此漏洞的故事是为了批评Rapid7违反披露协议的条款。Fortinet表示，其PSIRT政策页面上有一个明确的披露政策，其中包括“要求事件提交人严格保密，直到客户获得完整的解决方案为止。”

“我们原本预计Rapid7会在90天责任披露窗口结束之前保留任何调查结果。我们感到遗憾的是，在这种情况下，个人研究在90天窗口期之前未经充分通知就被完全披露，”Fortinet发言人说，并补充说，他们经常与研究人员和供应商在网络安全方面密切合作。

“我们正在努力立即向客户发送解决方案通知，并在本周末发布修补程序。”

Fortinet没有回答有关该漏洞修补程序的后续问题。

Rapid7更新了他们的报告，称Fortiweb 6.4.1将于8月底发布，并将进行修复Rapid7的研究总监Tod Beardsley告诉ZDNet，他们的漏洞披露政策规定了在初次接触尝试后至少60天内披露漏洞。

“在这种情况下，首次披露于6月10日提交给Fortinet，并于6月11日收到供应商通知单，根据我们的披露报告。在最初的沟通之后，我们与Fortinet进行了几次跟进尝试，不幸的是，66天后我们没有收到回复，”比尔兹利解释道。

“没有违反披露政策。在披露消息后不久，我们与Fortinet取得了联系，他们表示将发布修复程序。一旦该修复程序发布，我们将使用该链接和CVE ID更新我们的披露内容。”

Beardsley补充说，没有迹象表明该漏洞已被使用，因此，Rapid7的披露“应该被解读为对Fortinet的FortiWeb用户的一个警告。”

他重申，FortiWeb用户一般不应该将其管理界面暴露在互联网上，应该确保拥有身份验证凭据的人是可靠的，强密码。

CISA发布黑莓产品BadAlloc漏洞警报

针对Fortinet命令注入漏洞发布的补丁

CES 2022，要求与会者提供疫苗接种证明

在勒索软件组访问SSN后，Colonial Pipeline向5000多人发送违约信，更多人通过注册，您同意使用条款并确认隐私政策中概述的数据实践。

您还将免费订阅ZDNet的今日技术更新和ZDNet公告时事通讯。您可以随时取消订阅这些时事通讯。

您同意接收CBS公司系列的更新、提醒和促销活动，包括ZDNet的今日技术更新和ZDNet公告时事通讯。您可以随时取消订阅

2023-03-22 10:04:41