教育数字化知识图谱

FortiNAC(Network Access Control) 是Fortinet的一种零信任网络访问控制解决方案，可增强用户对企业网络上的物联网 (IoT) 设备的监控。NAC是零信任网络访问安全模型的重要组成部分，在该模型中，IT 团队可以轻松了解正在访问网络的人员和设备，以及如何保护网络内外的公司资产。NAC 可提供全面的网络可视性，有效控制设备和用户，包括自动化动态响应。

监测发现Fortinet官方发布安全更新，其中包含Fortinet FortiNAC 远程代码执行漏洞(CVE-2022-39952)。FortiNAC keyUpload 脚本中存在路径遍历漏洞，未经身份认证的远程攻击者可利用此漏洞向目标系统写入任意内容，最终可在目标系统上以 Root 权限执行任意代码。请立即更新至最新版本。

漏洞名称

Fortinet FortiNAC 远程代码执行

漏洞CVE编号

CVE-2022-39952

其他编号

CVD-2023-4737

CNNVD-202302-1434

漏洞描述

FortiNAC keyUpload 脚本中存在路径遍历漏洞，未经身份认证的远程攻击者可利用此漏洞向目标系统写入任意内容，最终可在目标系统上以 Root 权限执行任意代码。

影响版本

FortiNAC 9.4.0

FortiNAC 9.2.x <= 9.2.5

FortiNAC 9.1.x <= 9.1.7

FortiNAC 8.8.x

FortiNAC 8.7.x

FortiNAC 8.6.x

FortiNAC 8.5.x

FortiNAC 8.3.x

不受影响版本

FortiNAC 9.4.x >= 9.4.1

FortiNAC 9.2.x >= 9.2.6

FortiNAC 9.1.x >= 9.1.8

FortiNAC 7.2.x >= 7.2.0

处置建议

目前 Fortinet 官方已发布安全版本修复这些漏洞，请尽快更新至对应的安全版本。