阿里云首页> 安全公告> 【漏洞通告】FortiManager与FortiAnalyzer UAF远程命令执行漏洞(CVE-2021-32589)

【漏洞通告】FortiManager与FortiAnalyzer UAF远程命令执行漏洞(CVE-2021-32589)

2021年7月20日,阿里云应急响应中心监测到FortiNet官方发布安全更新,披露了 CVE-2021-32589 FortiManager与FortiAnalyzer UAF远程代码执行漏洞。


漏洞描述

FortiManager与FortiAnalyzer是FortiNet旗下产品,可以实现集中管理和日志,完成命令控制、网络流量和攻击的报表和分析等功能。2021年7月20日,FortiNet官方发布安全更新,披露了 CVE-2021-32589 FortiManager与FortiAnalyzer UAF远程代码执行漏洞。攻击者可构造恶意请求发送至FortiManager与FortiAnalyzer的fgfm端口,触发UAF漏洞,从而导致远程命令执行。默认情况下FGFM功能是关闭的,且仅只能在特定型号设备上开启,且目前尚未有相关脚本流出,实际风险相对较小,阿里云应急响应中心提醒 FortiNet 用户尽快采取安全措施阻止漏洞攻击。


漏洞细节:未公开

漏洞POC:未公开

漏洞EXP:未公开

在野利用:未知


漏洞评级

CVE-2021-32589 FortiManager与FortiAnalyzer UAF远程代码执行漏洞 中危


影响版本

FortiManager 5.4.x

FortiManager <= 5.6.10

FortiManager <= 6.0.10

FortiManager <= 6.2.7

FortiManager <= 6.4.5

FortiManager 7.0.0


FortiAnalyzer <= 5.6.10

FortiAnalyzer <= 6.0.10

FortiAnalyzer <= 6.2.7

FortiAnalyzer <=  6.4.5

FortiAnalyzer 7.0.0.


安全版本

FortiManager 5.6.11

FortiManager 6.0.11

FortiManager 6.2.8

FortiManager 6.4.6

FortiManager 7.0.1


FortiAnalyzer 5.6.11

FortiAnalyzer 6.0.11

FortiAnalyzer 6.2.8

FortiAnalyzer 6.4.6

FortiAnalyzer 7.0.1


安全建议

1、根据影响及其安全版本排查并升级到安全版本

2、若暂无法升级,可通过禁用fmg-status

config system global
set fmg-status disable <--- Disabled by default.end






相关链接

https://www.fortiguard.com/psirt/FG-IR-21-067


我们会关注后续进展,请随时关注官方公告。

如有任何问题,可随时发送邮件至alicloud-vul@alibabacloud.com

阿里云应急响应中心

2021.7.20