PT-2021-21172 · Fortinet · Fortiweb
Publicado
2021-12-08
·
Atualizado
2023-08-08
·
CVE-2021-36190
CVSS v2.0
6.5
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:P/A:P |
Nome do software vulnerável e versões afetadas
Fortinet FortiWeb versões 6.4.1 e anteriores
Fortinet FortiWeb versões 6.3.15 e anteriores
Descrição
O problema envolve um proxy ou intermediário indesejado, conhecido como “confused deputy”, que permite que um invasor não autenticado acesse hosts protegidos. Isso é feito por meio de solicitações HTTP maliciosas.
Recomendações
Para as versões 6.4.1 e anteriores do Fortinet FortiWeb, atualize para uma versão superior à 6.4.1 para resolver o problema.
Para as versões 6.3.15 e anteriores do Fortinet FortiWeb, atualize para uma versão superior à 6.3.15 para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao mecanismo de tratamento de solicitações HTTP para minimizar o risco de exploração.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Fortiweb