PT-2021-7469 · Fortinet · Fortiweb
Andrey Medov
·
Publicado
2021-02-03
·
Atualizado
2021-02-10
·
CVE-2021-22122
CVSS v2.0
6.4
Média
| Vetor | AV:N/AC:L/Au:N/C:P/I:P/A:N |
Nome do software vulnerável e versões afetadas
Versões do FortiWeb 6.3.0 a 6.3.7
Versões do FortiWeb anteriores à 6.2.4
Descrição
O problema está relacionado a uma neutralização inadequada de entradas durante a geração de páginas da web na interface gráfica do FortiWeb. Isso pode permitir que um invasor remoto não autenticado execute um ataque de script entre sites refletido (XSS) injetando carga maliciosa em diferentes pontos de extremidade de API vulneráveis.
Recomendações
Para as versões do FortiWeb 6.3.0 a 6.3.7, atualize para uma versão fora desse intervalo para resolver o problema.
Para as versões do FortiWeb anteriores à 6.2.4, atualize para a versão 6.2.4 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso aos pontos de extremidade da API vulneráveis até que um patch esteja disponível.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fortiweb