Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
27/11/2013
Se ha informado de una vulnerabilidad en Fortinet FortiAnalyzer, que podría ser aprovechada por atacantes maliciosos para lanzar ataques de falsificación de peticiones entre sitios (CSRF, del inglés Cross-site Request Forgery).
La aplicación permite a los usuarios realizar determinadas acciones a través de peticiones HTTP sin que sean validadas correctamente. Esto podría ser aprovechado para, por ejemplo, cambiar determinada configuración o crear un usuario con privilegios de administración cuando un usuario administrador activo viista una página diseñada específicamente.
Sistemas Afectados:Fortinet FortiAnalyzer 4.x
Fortinet FortiAnalyzer 5.x
CVE-2013-6826
Solución:Actualizar a la versión 4.3.7 o 5.0.5
Notas:Fortinet:
http://www.fortiguard.com/advisory/FG-IR-13-018/
William Costa:
http://packetstormsecurity.com/files/123980/fortianalyzer-xsrf.txt