Összefoglaló
A Fortinet FortiAnalyzer és a FortiManager egy XSS sérülékenysége vált ismertté, amelyet kihasználva jogosulatlan műveletvégrehajtásra és adatmanipulációra adódhat lehetőség.
Leírás
A sérülékenységet a “filename” nevű paraméter nem megfelelő ellenőrzése okozza a Layout Header [Header Image] modulban. Speciálisan összeállított bemeneti adatokkal tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében.
Megoldás
A Fortinet által kiadott patch-ek telepítése.
Támadás típusa
Cross Site Scripting (XSS/CSS)Information disclosure (Információ/adat szivárgás)
Manipulation of data
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Egyéb referencia: www.vulnerability-lab.com