PT-2020-5588 · Fortinet · Fortimail+1
Publicado
2020-04-27
·
Atualizado
2024-01-18
·
CVE-2020-9294
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões 5.4.10 e anteriores, 6.0.7 e anteriores, 6.2.2 e anteriores do FortiMail
Versões 6.0.0 e 6.0.1 do FortiVoiceEnterprise
Descrição
O problema está relacionado a falhas no procedimento de autenticação do sistema de proteção de e-mail. Isso pode permitir que um invasor remoto obtenha privilégios elevados ao solicitar uma alteração de senha por meio da interface do usuário. Isso poderia permitir que o invasor acessasse o sistema como um usuário legítimo.
Recomendações
Para as versões 5.4.10 e anteriores, 6.0.7 e anteriores e 6.2.2 e anteriores do FortiMail, considere desativar o recurso de alteração de senha pela interface do usuário até que uma correção esteja disponível.
Para as versões 6.0.0 e 6.0.1 do FortiVoiceEnterprise, restrinja o acesso à interface do usuário para minimizar o risco de exploração.
Como solução alternativa temporária, evite usar o recurso de alteração de senha nos sistemas afetados até que o problema seja resolvido.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fortimail
Fortivoiceentreprise