BDU:2023-01003

Опубликовано: 16 фев. 2023

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Низкий

Описание

Уязвимость межсетевого экрана веб-приложений FortiWeb связана с недостатком механизма фиксации сеанса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить перехват сеансов других пользователей

Вендор

Fortinet Inc.

Наименование ПО

FortiWeb

Версия ПО

от 6.2.0 до 6.2.7 (FortiWeb)

от 6.0.0 до 6.0.8 (FortiWeb)

от 5.6.0 до 5.9.2 (FortiWeb)

от 6.1.0 до 6.1.3 (FortiWeb)

от 6.3.0 до 6.3.17 (FortiWeb)

от 6.4.0 до 7.0.0 (FortiWeb)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:

https://www.fortiguard.com/psirt/FG-IR-21-214

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://www.fortiguard.com/psirt/FG-IR-21-214

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 83%

0.01914

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2021-42761

CVSS3: 9

nvd

почти 3 года назад

A condition for session fixation vulnerability [CWE-384] in the session management of FortiWeb versions 6.4 all versions, 6.3.0 through 6.3.16, 6.2.0 through 6.2.6, 6.1.0 through 6.1.2, 6.0.0 through 6.0.7, 5.9.0 through 5.9.1 may allow a remote, unauthenticated attacker to infer the session identifier of other users and possibly usurp their session.

GHSA-hxmr-8629-frhp