CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

27/11/2013

Vulnerabilitat CSRF a Fortinet FortiAnalyzer

S’ha informat d’una vulnerabilitat en Fortinet FortiAnalyzer que podria ser aprofitada per atacants maliciosos per a llançar atacs de falsificació de peticions entre llocs (CSRF, de l’anglés Cross-site Request Forgery).

Risc: Baix

S’ha informat d’una vulnerabilitat en Fortinet FortiAnalyzer que podria ser aprofitada per atacants maliciosos per a llançar atacs de falsificació de peticions entre llocs (CSRF, de l’anglés Cross-site Request Forgery).

L’aplicació permet als usuaris fer determinades accions a través de peticions HTTP sense que siguen validades correctament. Això podria ser aprofitat, per exemple, per a canviar determinada configuració o crear un usuari amb privilegis d’administració quan un usuari administrador actiu visita una pàgina dissenyada específicament.

Sistemes Afectats:

Fortinet FortiAnalyzer 4.x
Fortinet FortiAnalyzer 5.x 

Referències:

CVE-2013-6826

Solució:

Actualitzar a la versió 4.3.7 o 5.0.5 

Notes:

Fortinet:
http://www.fortiguard.com/advisory/FG-IR-13-018/

William Costa:
http://packetstormsecurity.com/files/123980/fortianalyzer-xsrf.txt 

Font: Secunia Advisories

CSIRT-CV