Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-08823

Опубликовано: 14 нояб. 2023
Источник: fstec
CVSS3: 8.8
CVSS2: 9
EPSS Низкий

Описание

Уязвимость системы балансировки трафика FortiWAN связана с недостатками процедуры аутентификации в результате использования статического ключа при обработке JWT-токенов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии путем отправки специально созданных запросов HTTP и HTTPs

Вендор

Fortinet Inc.

Наименование ПО

FortiWan

Версия ПО

от 5.2.0 до 5.2.1 включительно (FortiWan)
от 5.1.1 до 5.1.2 включительно (FortiWan)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

В связи с окончанием жизненного цикла данного программного продукта производитель рекомендует использовать межсетевой экран - FortiGate, включающий большинство традиционных сервисов, таких как проверка трафика, антивирус, VPN и т. д.
Компенсирующие меры:
- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству;
- ограничение доступа к устройству из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 47%
0.00239
Низкий

8.8 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-44252

CVSS3: 8.8
nvd
около 2 лет назад

** UNSUPPORTED WHEN ASSIGNED **An improper authentication vulnerability [CWE-287] in Fortinet FortiWAN version 5.2.0 through 5.2.1 and version 5.1.1 through 5.1.2 may allow an authenticated attacker to escalate his privileges via HTTP or HTTPs requests with crafted JWT token values.

github логотип

GHSA-mjfm-wh8j-9fgg

CVSS3: 8.8
github
около 2 лет назад

** UNSUPPORTED WHEN ASSIGNED **An improper authentication vulnerability [CWE-287] in Fortinet FortiWAN version 5.2.0 through 5.2.1 and version 5.1.1 through 5.1.2 may allow an authenticated attacker to escalate his privileges via HTTP or HTTPs requests with crafted JWT token values.

EPSS

Процентиль: 47%
0.00239
Низкий

8.8 High

CVSS3

9 Critical

CVSS2