Cross-site Scripting en productos FortiOS y FortiProxy de Fortinet

14/09/2023

Garrantzia

Handia

Etiketak

actualización

comunicaciones

vulnerabilidad

Recursos Afectados

FortiProxy, versión 7.2.0 hasta 7.2.4;
FortiProxy, versión 7.0.0 hasta 7.0.10;
FortiOS, versión 7.2.0 hasta 7.2.4;
FortiOS, versión 7.0.0 hasta 7.0.11;
FortiOS, versión 6.4.0 hasta 6.4.12;
FortiOS, versión 6.2.0 hasta el 6.2.14;

Descripción

William Costa, del equipo CSE de Fortinet, ha notificado una vulnerabilidad de severidad alta que podría permitir que un atacante autenticado desencadene la ejecución de código JavaScript malicioso en una página de gestión de invitados.

Solución

Actualizar a las versiones:

FortiProxy, versión 7.2.5 o superior.
FortiProxy, versión 7.0.11 o superior.
FortiOS, versión 7.4.0 o superior.
FortiOS, versión 7.2.5 o superior.
FortiOS, versión 7.0.12 o superior.
FortiOS, versión 6.4.13 o superior.
FortiOS, versión 6.2.15 o superior.

Detalle

La vulnerabilidad de severidad alta provoca una neutralización inadecuada de la entrada durante la generación de páginas web ('Cross-Site Scripting'), que podría permitir, a un atacante autenticado, ejecutar código JavaScript malicioso en la página de gestión de invitados.

Listado de referencias

FortiOS & FortiProxy - Stored XSS in guest management page

Cross-site Scripting en productos FortiOS y FortiProxy de Fortinet

Gertakarien berri ematea