PT-2020-6786 · Fortinet · Fortideceptor
Publicado
2020-06-21
·
Atualizado
2020-06-29
·
CVE-2020-6644
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
FortiDeceptor versões 3.0.0 e anteriores
Descrição
O problema está relacionado a uma expiração insuficiente da sessão no FortiDeceptor, o que pode ser explorado por um invasor remoto para obter privilégios elevados usando IDs de sessão. Isso poderia permitir que um invasor reutilizasse IDs de sessão de usuário administrador não expiradas e obtivesse privilégios de administrador caso conseguisse obter o ID de sessão por outros meios.
Recomendações
Para as versões 3.0.0 e anteriores do FortiDeceptor, considere restringir o acesso ao sistema até que uma correção esteja disponível e certifique-se de que os IDs de sessão estejam devidamente protegidos para impedir o acesso não autorizado.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Insufficient Session Expiration
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fortideceptor