photo5086850792144611255

Vulnerabilidades de Cross-Site Scripting en FortiOS

Fecha de Publicación: 19 de junio de 2017

Fortinet ha confirmado dos vulnerabilidades en FortiOS, el sistema operativo empleado en sus sistemas, que podrían permitir a un atacante remoto sin autenticar construir ataques de cross-site scripting.

Como es habitual en este tipo de ataques los problemas (con CVE-2017-7734 y CVE-2017-7735) residen en un filtrado inadecuado de los datos antes de ser devueltos al usuario. Concretamente, a través del parámetro “Comments” mientras se graban revisions de configuración y en el parámetro “Groups” mientras se crean o editan grupos de usuarios. Esto podría facilitar a un atacante remoto crear una URL, que al ser cargada por el usuario permita la ejecución de código script en el contexto de seguridad del navegador de la víctima autenticada.

Al igual que todo este tipo de ataques podría permitir acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.

Recursos Afectados: Se ven afectadas las versiones FortiOS 5.2.0 a 5.4.4

Solución: Fortinet recomienda la actualización a la versión FortiOS 5.4.5 o 5.6.0

0 replies

Deja una respuesta

¿Quieres unirte a la discusión?
¡Siéntete libre de contribuir!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *