Alertas de seguridad

Vulnerabilidad en Fortinet FortiWeb 6.0.2 y anteriores

KPMG Asesores han detectado una vulnerabilidad de secuencias de comandos cruzados, XSS (cross-site scripting) lo cual permite a un atacante colocar secuencias de comandos maliciosos en páginas web y aplicaciones de confianza. Esto puede impulsar a un atacante a robar credenciales de autenticación basadas en cookies y lanzar otros ataques.

Recursos afectados

  •  Fortinet FortiWeb 6.0.2
  • Fortinet FortiWeb 6.0.1
  • Fortinet FortiWeb 6.0
  • Fortinet FortiWeb 5.9.1
  • Fortinet FortiWeb 5.7
  • Fortinet FortiWeb 5.6.1
  • Fortinet FortiWeb 5.6
  • Fortinet FortiWeb 5.5
  • Fortinet FortiWeb 5.4
  • Fortinet FortiWeb 5.1
  • Fortinet FortiWeb 5.0.1
  • Fortinet FortiWeb 5.0.0

Detalles

 La vulnerabilidad de severidad media se debe a que la URL del mensaje de reporte no está codificada en Fortinet FortiWeb versión 6.0.2 y siguientes, lo que puede permitir a un atacante ejecutar código o comandos no autorizados (Cross Site Scripting) por medio de reportes de ataque generados en formato HTML.

Por lo tanto, para explotar este problema un atacante debe atraer a una víctima desprevenida a abrir un URL malicioso.

Acciones recomendadas

Actualice a FortiWeb 6.0.3 o superior
Actualice a FortiWeb 6.1.1 o superior

Topics: Vulnerabilidad en Fortinet FortiWeb 6.0.2