Inicio / Alerta Temprana / Avisos Seguridad / Múltiples vulnerabilidades en FortiOS de FortiGuard

Múltiples vulnerabilidades en FortiOS de FortiGuard

Fecha de publicación: 
27/05/2019
Importancia: 
4 - Alta
Recursos afectados: 

FortiOS, versiones:

  • Desde 6.0.0 hasta 6.0.4
  • Desde 5.6.0 hasta 5.6.8
  • Desde 5.4.1 hasta 5.4.10
  • Las versiones 5.4.0 e inferiores (incluida la rama 5.2) no se ven afectadas.

Para la vulnerabilidad con identificador CVE-2018-13382, el producto está afectado solo si el portal web SSL VPN está habilitado.

Descripción: 

Los investigadores Meh Chang y Orange Tsai, de DEVCORE Security Research Team, han reportado dos vulnerabilidades de salto de directorio y de autorización incorrecta.

Solución: 
  • Actualizar a versiones de FortiOS 5.4.11, 5.6.9, 6.0.5, 6.2.0 o superiores.
Detalle: 
  • Una vulnerabilidad de salto de directorio en el portal web FortiOS SSL VPN puede permitir a un atacante no autenticado descargar archivos de sistema FortiOS a través de solicitudes de recursos HTTP, especialmente diseñadas, provocando una divulgación de información. Se ha reservado el identificador CVE-2018-13379 para esta vulnerabilidad.
  • Una vulnerabilidad de autorización incorrecta en el portal web SSL VPN puede permitir que un atacante no autenticado cambie la contraseña de un usuario de un portal web SSL VPN a través de solicitudes HTTP, especialmente diseñadas. Se ha reservado el identificador CVE-2018-13382 para esta vulnerabilidad.

Encuesta valoraciĂ³n