PT-2021-6858 · Fortinet · Fortios
Publicado
2021-09-13
·
Atualizado
2021-11-04
·
CVE-2021-41019
CVSS v2.0
7.1
Alta
| Vetor | AV:N/AC:M/Au:N/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões 6.4.6 e anteriores do FortiOS
Descrição
O problema está relacionado a uma validação inadequada do certificado com incompatibilidade de host, o que pode permitir a conexão a um servidor LDAP malicioso por meio de opções na interface gráfica (GUI). Isso poderia levar à divulgação de informações confidenciais, como credenciais do Active Directory. A vulnerabilidade está associada à verificação insuficiente do CN/SAN do certificado, permitindo potencialmente que um invasor remoto obtenha acesso não autorizado a informações protegidas.
Recomendações
Para as versões 6.4.6 e anteriores do FortiOS, atualize para uma versão superior à 6.4.6 para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso às opções do servidor LDAP na GUI para minimizar o risco de exploração.
Correção
Improper Certificate Validation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Fortios