Especialistas en ciberseguridad reportan la detección de dos vulnerabilidades en FortiWLM, una solución de administración completa para controladores y puntos de acceso y resolución de problemas desarrollada por Fortinet. Según el reporte, la explotación exitosa de estas fallas podría conducir a complejos escenarios de riesgo.
A continuación se presentan breves descripciones de las fallas reportadas, además de sus respectivas claves de identificación y puntajes asignados según el Common Vulnerability Scoring System (CVSS).
CVE-2021-43077: La inadecuada desinfección de los datos proporcionados por el usuario en los controladores de monitor AP permitiría a los usuarios remotos enviar solicitudes especialmente diseñada a la aplicación afectada para ejecutar comandos SQL arbitrarios dentro de la base de datos de la aplicación.
Esta es una vulnerabilidad de severidad media y recibió un puntaje CVSS de 7.1/10.
CVE-2021-43075: La validación de entrada incorrecta en el panel de alarmas y en los controladores de configuración del controlador permitiría a los usuarios remotos autenticados enviar solicitudes HTTP especialmente diseñadas y ejecutar comandos arbitrarios en el sistema operativo afectado.
La vulnerabilidad recibió una puntuación CVSS de 7.7/10.
Según el reporte, las fallas residen en las siguientes versiones de Forrtinet FortiWLM: 8.6.0 – 8.6.2, 8.4.0 – 8.4.2.
Si bien las fallas pueden ser explotadas por actores de amenazas no autenticados, hasta el momento no se han detectado intentos de explotación activa relacionados con estos reportes. Aún así, los equipos de seguridad de Fortinet recomiendan a los usuarios de implementaciones afectadas actualizar a la brevedad.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.