PT-2022-10488 · Fortinet · Fortiauthenticator Ha Service
Publicado
2022-02-02
·
Atualizado
2022-07-12
·
CVE-2021-36177
CVSS v3.1
4.3
Média
| Vetor | AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões 6.3.2 e anteriores do serviço FortiAuthenticator HA
Versões 6.2.x do serviço FortiAuthenticator HA
Versões 6.1.x do serviço FortiAuthenticator HA
Versões 6.0.x do serviço FortiAuthenticator HA
Descrição
Uma falha no controle de acesso pode permitir que um invasor na mesma VLAN que a interface de gerenciamento HA estabeleça uma conexão direta não autenticada com o banco de dados do FAC. Isso poderia ser potencialmente explorado por um invasor para acessar dados confidenciais sem a devida autorização.
Recomendações
Para as versões 6.3.2 e anteriores do serviço FortiAuthenticator HA, considere restringir o acesso à interface de gerenciamento HA para minimizar o risco de exploração.
Para as versões 6.2.x do serviço FortiAuthenticator HA, restrinja o acesso à interface de gerenciamento HA até que um patch esteja disponível.
Para as versões 6.1.x do serviço FortiAuthenticator HA, limite o acesso ao banco de dados do FAC para impedir conexões não autenticadas.
Para as versões 6.0.x do serviço FortiAuthenticator HA, aplique alterações de configuração para impor o controle de acesso adequado na interface de gerenciamento HA.
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Fortiauthenticator Ha Service