FortiOS ve FortiProxy SSL VPN Web UI Cross Site Scripting Güvenlik Açığı
FortiOS ve FortiProxy’nin web SSL VPN arayüzündeki XSS [CWE-79] sırasında oluşan girdinin düzensiz şekilde etkisizleştirilmesi kimliği doğrulanmamış ve uzaktan bağlanan bir saldırganın, hedeflenen kullanıcıyı sosyal mühendislik yoluyla sunucusuna kötü amaçlı bir samba sunucusuna yer imi koyması için XSS saldırısı gerçekleştirmesine yol açabilir.
Etkilenen Versiyonlar
| VERSİYON | ETKİLENEN | ÇÖZÜM |
|---|---|---|
| FortiOS 7.4 | 7.4.0 – 7.4.3 arası | 7.4.4 veya üzeri sürüme güncelleyin |
| FortiOS 7.2 | 7.2.0 – 7.2.7 arası | 7.2.8 veya üzeri sürüme güncelleyin |
| FortiOS 7.0 | 7.0.0 – 7.0.13 arası | 7.0.14 veya üzeri sürüme güncelleyin |
| FortiOS 6.4 | 6.4 bütün sürümleri | Sabit bir sürüme geçiş yapın |
| FortiProxy 7.4 | 7.4.0 -7.4.3 arası | 7.4.4 veya üzeri sürüme güncelleyin |
| FortiProxy 7.2 | 7.2.0 – 7.2.9 arası | 7.2.10 veya üzeri sürüme güncelleyin |
| FortiProxy 7.0 | 7.0.0 – 7.0.16 arası | 7.0.17 veya üzeri sürüme güncelleyin |
Adresteki aracı kullanarak önerilen güncelleme yolunu izleyin: https://docs.fortinet.com/upgrade-tool
Geçici çözüm olarak:
SSL – VPN web mode kapatabilirsiniz.
