logo
 
  1. Reverse Engineering >
  2. Exploits >
  3. Fortinet FortiOS bis 5.2.10 Configuration Setting Stored Cross Site Scripting


ArabicEnglishFrenchGermanGreekItalianJapaneseKoreanPersianPolishPortugueseRussianSpanishTurkishVietnamese

➤ Fortinet FortiOS bis 5.2.10 Configuration Setting Stored Cross Site Scripting

RSS Kategorie Pfeil Exploits vom | Quelle: vuldb.com Direktlink öffnen Nachrichten Bewertung

Eine problematische Schwachstelle wurde in Fortinet FortiOS bis 5.2.10 gefunden. Betroffen davon ist eine unbekannte Funktion der Komponente Configuration Setting Handler. Mittels Manipulieren mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle (Stored) ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-80. Die Auswirkungen sind bekannt für die Integrität.

Die Schwachstelle wurde am 17.05.2017 als FG-IR-17-057 in Form eines bestätigten Advisories (Website) herausgegeben. Auf fortiguard.com kann das Advisory eingesehen werden. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2017-3128 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert eine einfache Authentisierung. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden.

Ein Aktualisieren auf die Version 4.3, 5.2.11 oder 5.4.0 vermag dieses Problem zu lösen.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1038541) dokumentiert.

Nicht betroffen

  • Fortinet FortiOS 4.x

CVSSv3

VulDB Base Score: 4.3
VulDB Temp Score: 4.1
VulDB Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N/E:X/RL:O/RC:C
VulDB Zuverlässigkeit: High

CVSSv2

VulDB Base Score: 3.5 (CVSS2#AV:N/AC:M/Au:S/C:N/I:P/A:N)
VulDB Temp Score: 3.0 (CVSS2#E:ND/RL:OF/RC:C)
VulDB Zuverlässigkeit: High

CPE

Exploiting

Klasse: Cross Site Scripting / Stored (CWE-80)
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden

Upgrade: FortiOS 4.3/5.2.11/5.4.0

Timeline

17.05.2017 Advisory veröffentlicht
23.05.2017 VulDB Eintrag erstellt
23.05.2017 SecurityTracker Eintrag erstellt
23.05.2017 VulDB letzte Aktualisierung

Quellen

Advisory: FG-IR-17-057
Status: Bestätigt

CVE: CVE-2017-3128 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityTracker: 1038541 - Fortinet FortiOS Input Validation Flaw in 'global-label' Configuration Setting Lets Remote Authenticated Administrative Users Conduct Cross-Site Scripting Attacks

Eintrag

Erstellt: 23.05.2017
Eintrag: 74.8% komplett
...

➥ Externe Webseite mit kompletten Inhalt öffnen

Kommentiere zu Fortinet FortiOS bis 5.2.10 Configuration Setting Stored Cross Site Scripting






➤ Ähnliche Beiträge