Vulnerabilidad en los argumentos de línea de comandos en la biblioteca del cliente TFTP de FortiOS (CVE-2021-42757)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-787
Escritura fuera de límites
Fecha de publicación:
08/12/2021
Última modificación:
18/01/2024
Descripción
Un desbordamiento de búfer [CWE-121] en la biblioteca del cliente TFTP de FortiOS versiones anteriores a 6.4.7 y FortiOS versiones 7.0.0 hasta 7.0.2, puede permitir a un atacante local autenticado lograr una ejecución de código arbitrario por medio de argumentos de línea de comandos especialmente diseñados
Impacto
Puntuación base 3.x
6.70
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.60
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:fortinet:fortiadc:*:*:*:*:*:*:*:* | 5.0.0 (incluyendo) | 6.1.5 (incluyendo) |
cpe:2.3:a:fortinet:fortiadc:*:*:*:*:*:*:*:* | 6.2.0 (incluyendo) | 6.2.2 (incluyendo) |
cpe:2.3:a:fortinet:fortianalyzer:*:*:*:*:*:*:*:* | 6.0.0 (incluyendo) | 6.4.7 (incluyendo) |
cpe:2.3:a:fortinet:fortianalyzer:*:*:*:*:*:*:*:* | 7.0.0 (incluyendo) | 7.0.2 (incluyendo) |
cpe:2.3:a:fortinet:fortimail:*:*:*:*:*:*:*:* | 5.4.0 (incluyendo) | 6.2.7 (incluyendo) |
cpe:2.3:a:fortinet:fortimail:*:*:*:*:*:*:*:* | 6.4.0 (incluyendo) | 6.4.6 (incluyendo) |
cpe:2.3:a:fortinet:fortimail:*:*:*:*:*:*:*:* | 7.0.0 (incluyendo) | 7.0.2 (incluyendo) |
cpe:2.3:a:fortinet:fortimanager:*:*:*:*:*:*:*:* | 6.0.0 (incluyendo) | 6.4.7 (incluyendo) |
cpe:2.3:a:fortinet:fortimanager:*:*:*:*:*:*:*:* | 7.0.0 (incluyendo) | 7.0.2 (incluyendo) |
cpe:2.3:a:fortinet:fortindr:*:*:*:*:*:*:*:* | 1.1.0 (incluyendo) | 1.5.2 (incluyendo) |
cpe:2.3:a:fortinet:fortios-6k7k:*:*:*:*:*:*:*:* | 6.2.8 (incluyendo) | |
cpe:2.3:a:fortinet:fortios-6k7k:6.4.2:*:*:*:*:*:*:* | ||
cpe:2.3:a:fortinet:fortios-6k7k:6.4.6:*:*:*:*:*:*:* | ||
cpe:2.3:a:fortinet:fortiportal:*:*:*:*:*:*:*:* | 5.0.0 (incluyendo) | 6.0.10 (incluyendo) |
cpe:2.3:a:fortinet:fortiproxy:*:*:*:*:*:*:*:* | 1.0.0 (incluyendo) | 2.0.7 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página