2021-1654: FortiAnalyzer, FortiManager: Mehrere Schwachstellen ermöglichen u. a. einen Server-Side-Request-Forgery-Angriff

Historie:

Version 1 (2021-08-04 16:51)

Neues Advisory

Betroffene Software

Netzwerk
Systemsoftware

Betroffene Plattformen

Hardware
FortiNet

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen, Sicherheitsvorkehrungen zu umgehen sowie einen Server-Side-Request-Forgery-Angriff, einen HTTP-Response-Splitting-Angriff und einen Cross-Site-Scripting (XSS)-Angriff durchzuführen. Zudem kann ein Angreifer eine Schwachstelle lokal ausnutzen, um beliebigen Programmcode mit 'root'-Rechten auszuführen. Für die Ausnutzung aller Schwachstellen sind übliche Privilegien erforderlich. Eine Schwachstelle erfordert die Interaktion eines Benutzers.

Der Hersteller informiert über die Schwachstelle und empfiehlt zu deren Behebung ein Update auf die jeweilige Version 6.2.8, 6.4.6, 7.0.0, 7.0.1 oder höher.

Schwachstellen:

CVE-2021-24006

Schwachstelle in FortiManager ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2021-26104

Schwachstelle in FortiAnalyzer und FortiManager ermöglicht Ausführen beliebigen Programmcodes mit Administratorrechten

CVE-2021-32587

Schwachstelle in FortiAnalyzer und FortiManager ermöglicht Ausspähen von Informationen

CVE-2021-32597

Schwachstelle in FortiAnalyzer und FortiManager ermöglicht Cross-Site-Scripting-Angriff

CVE-2021-32598

Schwachstelle in FortiAnalyzer und FortiManager ermöglicht HTTP-Response-Splitting-Angriff

CVE-2021-32603

Schwachstelle in FortiAnalyzer und FortiManager ermöglicht Server-Side-Request-Forgery-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.