PT-2024-3552 · Fortinet · Fortivoice
Publicado
2024-05-14
·
Atualizado
2024-05-23
·
CVE-2023-40720
CVSS v2.0
7.5
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:N/A:P |
Nome do software vulnerável e versões afetadas
Versões do FortiVoice 7.0.0 a 7.0.1
Versões do FortiVoice anteriores à 6.4.8
Descrição
O problema está relacionado a uma violação de autorização por meio de uma chave controlada pelo usuário, permitindo que um invasor remoto divulgue arquivos de configuração SIP enviando solicitações HTTP ou HTTPS especialmente criadas. Isso pode permitir que um invasor autenticado leia a configuração SIP de outros usuários.
Recomendações
Para as versões 7.0.0 a 7.0.1 do FortiVoice, atualize para uma versão fora desse intervalo para resolver o problema.
Para versões do FortiVoice anteriores à 6.4.8, atualize para a versão 6.4.8 ou posterior para resolver o problema.
Como solução temporária, considere restringir o acesso aos arquivos de configuração SIP até que um patch esteja disponível.
Correção
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fortivoice