PT-2021-16952 · Fortinet · Fortiproxy+1
Publicado
2021-06-01
·
Atualizado
2022-03-02
·
CVE-2021-26092
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Versões do FortiOS 5.2.10 a 5.2.15
Versões do FortiOS 5.4.0 a 5.4.13
Versões do FortiOS 5.6.0 a 5.6.14
Versões do FortiOS 6.0.0 a 6.0.12
Versões do FortiOS 6.2.0 a 6.2.7
Versões do FortiOS 6.4.0 a 6.4.4
Versões do FortiProxy 1.2.0 a 1.2.9
Versões do FortiProxy 2.0.0 a 2.0.1
Descrição
O problema está relacionado à falha na sanitização de entradas no portal web da SSL VPN, o que pode permitir que um invasor remoto não autenticado execute um ataque de Cross-site Scripting (XSS) refletido. Isso pode ser feito enviando uma solicitação à página de erro com parâmetros GET maliciosos, como
malicious get parameter. O ataque não requer autenticação e pode ser executado remotamente.Recomendações
Para as versões do FortiOS 5.2.10 a 5.2.15, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões do FortiOS 5.4.0 a 5.4.13, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões do FortiOS 5.6.0 a 5.6.14, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões do FortiOS 6.0.0 a 6.0.12, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões do FortiOS 6.2.0 a 6.2.7, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões do FortiOS 6.4.0 a 6.4.4, atualize para uma versão fora desse intervalo para mitigar o risco.
Para as versões do FortiProxy 1.2.0 a 1.2.9, atualize para uma versão fora desse intervalo para mitigar o risco.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fortios
Fortiproxy