N/A

An improper neutralization of special elements used in an SQL command ('SQL Injection') vulnerability [CWE-89] in FortiWeb version 7.0.1 and below, 6.4.2 and below, 6.3.20 and below, 6.2.7 and below may allow a privileged attacker to execute SQL commands over the log database via specifically crafted strings parameters.

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N

SQL命令中使用的特殊元素转义处理不恰当(SQL注入)

Fortinet FortiWeb SQL注入漏洞

Fortinet FortiWeb是美国飞塔（Fortinet）公司的一款Web应用层防火墙，它能够阻断如跨站点脚本、SQL注入、Cookie中毒、schema中毒等攻击的威胁，保证Web应用程序的安全性并保护敏感的数据库内容。 Fortinet FortiWeb存在SQL注入漏洞，该漏洞源于对SQL命令中特殊元素的中和不当，可能导致特权攻击者通过特制字符串参数在日志数据库上执行SQL命令。以下版本受到影响：7.0.1及之前版本、6.4.2及之前版本、6.3.20及之前版本和6.2.7及之前版本。

N/A

N/A