遠端主機上安裝的 FortiWeb 版本低於測試版本。因此，它受到 FG-IR-21-180 公告中提及的一個弱點影響。

  - FortiWeb 中針對 OS 命令所使用的特殊元素未執行正確的無效化處理 (「OS 命令插入弱點」弱點)  [CWE-78]，經驗證的攻擊者可藉此對 ApplicationDelivery、JsonProtection 和 WebProtection 控制器傳送特製的 HTTP 要求，以執行任意程式碼或命令。
    (CVE-2021-43073)

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

偵測

FortiWeb：FortiWeb - 因 API 控制器中的直接輸入插補而導致的 OS 命令插入弱點 (FG-IR-21-180)

high Nessus Plugin ID 164722

版本 1.4