PT-2024-3050 · Fortinet · Fortiproxy+1
Publicado
2024-04-09
·
Atualizado
2024-12-12
·
CVE-2023-41677
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Fortinet FortiProxy, versões 1.0.0 a 1.0.7
Fortinet FortiProxy, versões 1.1.0 a 1.1.6
Fortinet FortiProxy, versões 1.2.0 a 1.2.13
Versões do Fortinet FortiProxy 2.0.0 a 2.0.13
Versões do Fortinet FortiProxy 7.0.0 a 7.0.12
Versões do Fortinet FortiProxy 7.2.0 a 7.2.6
Versão 7.4.0 do Fortinet FortiProxy
Versões do Fortinet FortiOS 6.0.0 a 6.0.17
Versões do Fortinet FortiOS 6.2.0 a 6.2.15
Versões do Fortinet FortiOS 6.4.0 a 6.4.14
Versões do Fortinet FortiOS 7.0.0 a 7.0.12
Versões do Fortinet FortiOS 7.2.0 a 7.2.6
Versões do Fortinet FortiOS 7.4.0 a 7.4.1
Descrição
O problema está relacionado a credenciais insuficientemente protegidas no Fortinet FortiProxy e no FortiOS, o que pode permitir que um invasor execute código ou comandos não autorizados por meio de um ataque direcionado de engenharia social. Isso pode ocorrer quando um usuário visita um site malicioso controlado pelo invasor por meio de SSL-VPN, permitindo potencialmente que o invasor obtenha o cookie de administrador em condições raras e específicas.
Recomendações
Para as versões 1.0.0 a 1.0.7 do Fortinet FortiProxy, atualize para uma versão corrigida.
Para as versões 1.1.0 a 1.1.6 do Fortinet FortiProxy, atualize para uma versão corrigida.
Para as versões 1.2.0 a 1.2.13 do Fortinet FortiProxy, atualize para uma versão corrigida.
Para as versões 2.0.0 a 2.0.13 do Fortinet FortiProxy, atualize para uma versão corrigida.
Para as versões 7.0.0 a 7.0.12 do Fortinet FortiProxy, atualize
Correção
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fortios
Fortiproxy