PT-2022-11357 · Fortinet · Fortios

Publicado

2022-05-03

Atualizado

2022-07-12

CVE-2021-41032

CVSS v3.1

6.3

Média

Vetor

AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

Nome do software vulnerável e versões afetadas

Versões 6.4.8 e anteriores do FortiOS

Versões 7.0.3 e anteriores do FortiOS

Descrição

Uma falha no controle de acesso pode permitir que um invasor autenticado, com um perfil de usuário restrito, colete informações confidenciais e altere o status do túnel SSL-VPN de outros VDOMs usando comandos específicos da CLI.

Recomendações

Para as versões 6.4.8 e anteriores do FortiOS, atualize para uma versão posterior à 6.4.8 para resolver o problema.

Para as versões 7.0.3 e anteriores do FortiOS, atualize para uma versão posterior à 7.0.3 para resolver o problema.

Como solução alternativa temporária, considere restringir o acesso a comandos CLI específicos que possam modificar o status do túnel SSL-VPN de outros VDOMs até que um patch esteja disponível.

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Identificadores relacionados

CVE-2021-41032

Produtos afetados

Fortios

PT-2022-11357 · Fortinet · Fortios

CVE-2021-41032

Identificadores relacionados

Produtos afetados

Referências · 6