Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
27/11/2013
Vulnerabilidad CSRF en Fortinet FortiAnalyzer
Se ha informado de una vulnerabilidad en Fortinet FortiAnalyzer, que podría ser aprovechada por atacantes maliciosos para lanzar ataques de falsificación de peticiones entre sitios (CSRF, del inglés Cross-site Request Forgery).Se ha informado de una vulnerabilidad en Fortinet FortiAnalyzer, que podría ser aprovechada por atacantes maliciosos para lanzar ataques de falsificación de peticiones entre sitios (CSRF, del inglés Cross-site Request Forgery).
La aplicación permite a los usuarios realizar determinadas acciones a través de peticiones HTTP sin que sean validadas correctamente. Esto podría ser aprovechado para, por ejemplo, cambiar determinada configuración o crear un usuario con privilegios de administración cuando un usuario administrador activo viista una página diseñada específicamente.
Sistemas Afectados:Fortinet FortiAnalyzer 4.x
Fortinet FortiAnalyzer 5.x
CVE-2013-6826
Solución:Actualizar a la versión 4.3.7 o 5.0.5
Notas:Fortinet:
http://www.fortiguard.com/advisory/FG-IR-13-018/
William Costa:
http://packetstormsecurity.com/files/123980/fortianalyzer-xsrf.txt