https://forum.antichat.xyz/attachmen...2272131087.png

Были опубликованы эксплойты для уязвимости SQL-инъекции в Fortinet FortiWeb, которая позволяет злоумышленникам выполнять удалённый код без предварительной аутентификации. FortiWeb— это веб-фаервол, защищающий веб-приложения от вредоносного трафика. Уязвимость, зарегистрированная как
, получила оценку 9,8 из 10 по шкале CVSS. Fortinet исправила её в версиях FortiWeb 7.6.4, 7.4.8, 7.2.11 и 7.0.11.

Эта ошибка позволяет злоумышленникам внедрять SQL-код в заголовки HTTP-запросов через уязвимость в функции get_fabric_user_by_token(). Атакующие могут использовать SQL-инъекцию для обхода аутентификации и получения доступа к системе. Используя уязвимость, исследователи смогли выполнить удалённый код, записав Python-скрипт в систему и запустив его через CGI-скрипт FortiWeb.

Администраторам настоятельно рекомендуется установить патчи, так как эксплойты теперь доступны публично, и активные атаки могут начаться в ближайшее время.