PT-2021-16955 · Fortinet · Fortigate+2
Publicado
2021-12-07
·
Atualizado
2021-12-10
·
CVE-2021-26103
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
FortiProxy versões 2.0.3 e anteriores, 1.2.11 e anteriores
FortiGate versões 7.0.0, 6.4.6 e anteriores, 6.2.9 e anteriores
Descrição
Uma vulnerabilidade relacionada à verificação insuficiente da autenticidade dos dados na interface do usuário do FortiProxy e do portal SSL VPN do FortiGate pode permitir que um invasor remoto não autenticado realize um ataque de falsificação de solicitação entre sites (CSRF). Apenas o SSL VPN no modo web ou no modo completo é afetado por essa vulnerabilidade.
Recomendações
Para as versões 2.0.3 e anteriores do FortiProxy, considere desativar o portal SSL VPN no modo web ou no modo completo até que uma correção esteja disponível.
Para as versões 1.2.11 e anteriores do FortiProxy, considere desativar o portal SSL VPN no modo web ou no modo completo até que uma correção esteja disponível.
Para as versões 7.0.0, 6.4.6 e anteriores, e 6.2.9 e anteriores do FortiGate, considere desativar o portal SSL VPN no modo web ou no modo completo até que uma correção esteja disponível.
Como solução alternativa temporária, restrinja o acesso ao portal SSL VPN para minimizar o risco de exploração.
Correção
Insufficient Verification of Data Authenticity
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fortigate
Fortiproxy
Fortios