PT-2021-6904 · Fortinet · Fortios+1
Publicado
2021-12-07
·
Atualizado
2021-12-09
·
CVE-2021-41024
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões 7.0.0 a 7.0.1 do FortiOS
Versão 7.0.0 do FortiProxy
Descrição
Uma vulnerabilidade de traversal de caminho relativo pode permitir que um invasor não autenticado injete sequências de caracteres de traversal de caminho, potencialmente divulgando informações confidenciais do servidor por meio de uma solicitação GET à página de login. Isso poderia permitir que um invasor remoto obtivesse acesso não autorizado a informações protegidas e, potencialmente, elevasse seus privilégios usando uma solicitação GET especialmente criada.
Recomendações
Para as versões 7.0.0 a 7.0.1 do FortiOS, considere restringir o acesso à página de login até que uma correção esteja disponível.
Para a versão 7.0.0 do FortiProxy, evite usar a solicitação GET na página de login até que o problema seja resolvido.
Como solução alternativa temporária, considere desativar a funcionalidade da página de login até que uma correção seja fornecida.
Correção
Relative Path Traversal
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Fortios
Fortiproxy