Fortinet ជួសជុលកំហុស SQLi ដ៏សំខាន់មួយដែលអាចឱ្យមានការប្រតិបត្តិកូដដោយគ្មានការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ

Fortinet បានចេញផ្សាយការអាប់ដេតសុវត្ថិភាពដើម្បីដោះស្រាយកំហុសឆ្គងដ៏សំខាន់មួយដែលប៉ះពាល់ដល់ FortiClientEMS ដែលអាចនាំឱ្យមានការប្រតិបត្តិកូដតាមអំពើចិត្តលើប្រព័ន្ធដែលងាយរងគ្រោះ។

ចំណុចខ្សោយនេះ ដែលត្រូវបានតាមដានថាជា CVE-2026-21643 មានចំណាត់ថ្នាក់ CVSS 9.1 ក្នុងចំណោមអតិបរមា 10.0។

Fortinet បាននិយាយនៅក្នុងការណែនាំមួយថា "ការបន្សាបមិនត្រឹមត្រូវនៃធាតុពិសេសដែលប្រើក្នុងចំណុចខ្សោយ SQL Command ('SQL Injection') [CWE-89] នៅក្នុង FortiClientEMS អាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារដែលមិនបានផ្ទៀងផ្ទាត់ប្រតិបត្តិកូដ ឬពាក្យបញ្ជាដែលគ្មានការអនុញ្ញាតតាមរយៈសំណើ HTTP ដែលបង្កើតឡើងជាពិសេស"។

ចំណុចខ្វះខាតនេះប៉ះពាល់ដល់កំណែដូចខាងក្រោម -

-FortiClientEMS 7.2 (មិនរងផលប៉ះពាល់)

-FortiClientEMS 7.4.4 (ធ្វើឱ្យប្រសើរឡើងទៅ 7.4.5 ឬខ្ពស់ជាងនេះ)

-FortiClientEMS 8.0 (មិនរងផលប៉ះពាល់)

Gwendal Guégniaud នៃក្រុម Fortinet Product Security ត្រូវបានគេសរសើរថាបានរកឃើញ និងរាយការណ៍ពីកំហុសឆ្គងនេះ។

ខណៈពេលដែល Fortinet មិនបានលើកឡើងពីភាពងាយរងគ្រោះដែលកំពុងត្រូវបានកេងប្រវ័ញ្ចនៅក្នុងពិភពពិតនោះទេ វាមានសារៈសំខាន់ណាស់ដែលអ្នកប្រើប្រាស់ត្រូវអនុវត្តការជួសជុលឱ្យបានឆាប់រហ័ស។

ការអភិវឌ្ឍនេះកើតឡើងនៅពេលដែលក្រុមហ៊ុនបានដោះស្រាយកំហុសធ្ងន់ធ្ងរមួយទៀតនៅក្នុង FortiOS, FortiManager, FortiAnalyzer, FortiProxy, FortiWeb (CVE-2026-24858, ពិន្ទុ CVSS: 9.4) ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារដែលមានគណនី FortiCloud និងឧបករណ៍ដែលបានចុះឈ្មោះចូលទៅក្នុងឧបករណ៍ផ្សេងទៀតដែលបានចុះឈ្មោះទៅគណនីផ្សេងទៀត ប្រសិនបើការផ្ទៀងផ្ទាត់ FortiCloud SSO ត្រូវបានបើកនៅលើឧបករណ៍ទាំងនោះ។

ចាប់តាំងពីពេលនោះមក Fortinet បានទទួលស្គាល់ថាបញ្ហានេះត្រូវបានកេងប្រវ័ញ្ចយ៉ាងសកម្មដោយជនខិលខូចដើម្បីបង្កើតគណនីអ្នកគ្រប់គ្រងក្នុងស្រុកសម្រាប់ការតស៊ូ ធ្វើការផ្លាស់ប្តូរការកំណត់រចនាសម្ព័ន្ធដោយផ្តល់សិទ្ធិចូលប្រើ VPN ទៅកាន់គណនីទាំងនោះ និងលួចយកការកំណត់រចនាសម្ព័ន្ធជញ្ជាំងភ្លើង។