Corpus Solutions Security Advisory: Zranitelnosti Fortinet CVE-2017-3126 a CVE-2017-3128 1.0
05. 06. 2017
CVE-2017-3126
FortiAnalyzer, FortiManager Open Redirect Vulnerability
Shrnutí
WebUI FortiAnalyzeru a FortiManageru přijímají uživatelem kontrolovaný vstup, který obsahuje odkaz na externí stránku, a tento odkaz použijí k přesměrování.
Dopad
Přímé přesměrování na externí webovou stránku.
Postižené produkty
- FortiAnalyzer verze 5.4.0 až 5.4.2
- FortiManager verze 5.4.0 až 5.4.2
Předcházejících verzí FortiAnalyzeru ani FortiManageru se tato zranitelnost netýká.
Řešení
- FortiAnalyzer – upgradovat na verzi 5.4.3
- FortiManager – upgradovat na verzi 5.4.3
CVE-2017-3128
FortiOS stored XSS vulnerability in the policy global-label parameter
Shrnutí
FortiOS je náchylný k Cross-Site Scripting zranitelnosti kvůli špatně ošetřenému parametru, global-label, ve skrytém konfiguračním nastavení CLI.
Dopad
Provedení neautorizovaného kódu nebo příkazu.
Postižené produkty
- FortiOS 5.2 - od 5.2.0 do 5.2.10
- FortiOS 5.0 FortiOS 4.3 není zranitelný
Řešení
- FortiOS 5.0 a 5.2 – upgradovat na verzi 5.2.11 nebo vyšší
U systémů ve správě Corpus Solutions provedeme v nejbližší době analýzu zranitelnosti a případně učiníme opatření pro eliminaci tohoto problému. Zákazníky budeme průběžně informovat prostřednictvím standardních komunikačních mechanizmů.
Tip: všechny Security Advisory od Corpus Solutions můžete odebírat jako RSS kanál 