Security Lab

Межсайтовый скриптинг в FortiManager и FortiAnalyzer

Дата публикации:12.08.2016
Дата изменения:28.10.2016
Всего просмотров:10287
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:3
CVSSv2 рейтинг: 4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C)
4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C)
4.3 (AV:N/AC:M/Au:N/C:N/I:P/A:N/E:U/RL:OF/RC:C)
CVE ID: CVE-2016-3193
CVE-2016-3194
CVE-2016-3195
Вектор эксплуатации: Удаленная
Воздействие: Межсайтовый скриптинг
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Fortinet FortiManager 5.x
Fortinet FortiAnalyzer 5.x
Уязвимые версии: FortiManager: 5.0.0 - 5.0.11, 5.2.0 - 5.2.5, 5.4.0
FortiAnalyzer: 5.0.0 - 5.0.12, 5.2.0 - 5.2.5, 5.4.0
Описание:

Обнаруженные уязвимости позволяют удаленному пользователю произвести XSS нападение.<.p>

  1. Уязвимость существует из-за недостаточной обработки входных. Удаленный пользователь может с помощью специально сформированного запроса внедрить и выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
  2. Уязвимость существует из-за недостаточной обработки входных в полях форм. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
  3. Уязвимость существует из-за недостаточной обработки входных в Web-UI. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
URL производителя: http://fortiguard.com
Решение: Установите последнюю версию с сайта производителя.
Ссылки: http://fortiguard.com/advisory/fortimanager-and-fortianalyzer-persistent-xss-vulnerability-1
http://fortiguard.com/advisory/fortimanager-and-fortianalyzer-xss-vulnerability
http://fortiguard.com/advisory/fortimanager-and-fortianalyzer-client-side-xss-vulnerability