Összefoglaló
A FortiGuard FortiWeb három sérülékenységét jelentették, amelyeket jogosulatlan parancsvégrehajtáshoz, illetve XSS-alapú támadásokhoz lehet kihasználni.
Leírás
Az egyik hibát a WebUI tartalmazza, amely különféle rendszerparancsokat hajthat végre riportok generálásakor.
Egy másik sebezhetőség szintén a WebUI-t sújtja, és a service oldal automatikus frissítésével hozható összefüggésbe. Végső soron bemeneti paraméterek nem kellő szintű ellenőrzésére vezethető vissza, ami tetszőleges HTML és script kódok futtatását teheti lehetővé.
A harmadik sérülékenység pedig a WebUI FTP mentés oldalát érinti, és a jelszó mező automatikus kitöltésére ad módot.
Megoldás
A FortiWeb 5.3.5-ös verziójára való frissítés.
Támadás típusa
Cross Site Scripting (XSS/CSS)execute arbitrary code
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.fortiguard.com
Egyéb referencia: isbk.hu