Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
27/11/2013
S’ha informat d’una vulnerabilitat en Fortinet FortiAnalyzer que podria ser aprofitada per atacants maliciosos per a llançar atacs de falsificació de peticions entre llocs (CSRF, de l’anglés Cross-site Request Forgery).
L’aplicació permet als usuaris fer determinades accions a través de peticions HTTP sense que siguen validades correctament. Això podria ser aprofitat, per exemple, per a canviar determinada configuració o crear un usuari amb privilegis d’administració quan un usuari administrador actiu visita una pàgina dissenyada específicament.
Sistemes Afectats:Fortinet FortiAnalyzer 4.x
Fortinet FortiAnalyzer 5.x
CVE-2013-6826
Solució:Actualitzar a la versió 4.3.7 o 5.0.5
Notes:Fortinet:
http://www.fortiguard.com/advisory/FG-IR-13-018/
William Costa:
http://packetstormsecurity.com/files/123980/fortianalyzer-xsrf.txt