PT-2021-5487 · Fortinet · Fortimanager+1
Publicado
2021-05-08
·
Atualizado
2021-08-12
·
CVE-2021-32598
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N |
Nome do software vulnerável e versões afetadas
FortiManager e FortiAnalyzer GUI versões 7.0.0, 6.4.6 e anteriores, 6.2.8 e anteriores, 6.0.11 e anteriores, 5.6.11 e anteriores
Descrição
O problema está relacionado à neutralização inadequada de sequências CRLF em cabeçalhos HTTP, também conhecida como “HTTP Response Splitting”. Isso pode permitir que um invasor remoto autenticado execute um ataque de divisão de solicitação HTTP, obtendo controle sobre os cabeçalhos restantes e o corpo da resposta. O invasor pode explorar essa vulnerabilidade para injetar cabeçalhos HTTP arbitrários.
Recomendações
Para as versões 7.0.0, 6.4.6 e anteriores, 6.2.8 e anteriores, 6.0.11 e anteriores, 5.6.11 e anteriores da GUI do FortiManager e do FortiAnalyzer:
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
HTTP Request/Response Smuggling
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fortianalyzer
Fortimanager