PT-2021-3662 · Fortinet · Fortimail
Publicado
2021-06-16
·
Atualizado
2023-08-08
·
CVE-2021-26095
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do FortiMail 6.2.0 a 6.2.6
Versões do FortiMail 6.4.0 a 6.4.4
Descrição
O problema está relacionado a falhas criptográficas no gerenciamento de sessões do FortiMail, incluindo a estrutura de criptografia do cookie de sessão. Isso pode permitir que um invasor remoto que já possua um cookie revele, altere ou falsifique seu conteúdo, potencialmente elevando seus privilégios.
Recomendações
Para as versões do FortiMail 6.2.0 a 6.2.6, atualize para uma versão fora desse intervalo para resolver o problema.
Para as versões do FortiMail 6.4.0 a 6.4.4, atualize para uma versão fora desse intervalo para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso às funções de gerenciamento de sessão até que um patch esteja disponível.
Correção
Inadequate Encryption Strength
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fortimail