一、 漏洞 CVE-2022-27485 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
Fortinet FortiSandbox版本4.2.0、4.0.0through4.0.2、3.2.0through3.2.3、3.1.x和3.0.x中的sql命令中使用的特殊元素未正确 neutralize 的漏洞[CWE-89]允许有读取权限的远程和验证过的 attacker 通过构造的HTTP请求从底层Linux系统中提取任意文件。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A improper neutralization of special elements used in an sql command ('sql injection') vulnerability [CWE-89] in Fortinet FortiSandbox version 4.2.0, 4.0.0 through 4.0.2, 3.2.0 through 3.2.3, 3.1.x and 3.0.x allows a remote and authenticated attacker with read permission to retrieve arbitrary files from the underlying Linux system via a crafted HTTP request.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
Fortinet FortiSandbox SQL注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Fortinet FortiSandbox是美国飞塔(Fortinet)公司的一款APT(高级持续性威胁)防护设备。该设备提供双重沙盒技术、动态威胁智能系统、实时控制面板和报告等功能。 Fortinet FortiSandbox存在安全漏洞,该漏洞源于存在sql注入漏洞,攻击者利用该漏洞可以通过精心设计的HTTP请求从底层Linux系统检索任意文件。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
SQL注入
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2022-27485 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2022-27485 的情报信息