exploitDog

CVE-2021-32588

Опубликовано: 18 авг. 2021

Источник: nvd

CVSS3: 9.8

CVSS2: 10

EPSS Средний

Описание

A use of hard-coded credentials (CWE-798) vulnerability in FortiPortal versions 5.2.5 and below, 5.3.5 and below, 6.0.4 and below, versions 5.1.x and 5.0.x may allow a remote and unauthenticated attacker to execute unauthorized commands as root by uploading and deploying malicious web application archive files using the default hard-coded Tomcat Manager username and password.

Ссылки

https://fortiguard.com/advisory/FG-IR-21-077
Third Party Advisory
https://fortiguard.com/advisory/FG-IR-21-077
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:fortinet:fortiportal:*:*:*:*:*:*:*:*

Версия от 5.0.0 (включая) до 5.0.3 (включая)

cpe:2.3:a:fortinet:fortiportal:*:*:*:*:*:*:*:*

Версия от 5.1.0 (включая) до 5.1.2 (включая)

cpe:2.3:a:fortinet:fortiportal:*:*:*:*:*:*:*:*

Версия от 5.2.0 (включая) до 5.2.5 (включая)

cpe:2.3:a:fortinet:fortiportal:*:*:*:*:*:*:*:*

Версия от 5.3.0 (включая) до 5.3.5 (включая)

cpe:2.3:a:fortinet:fortiportal:*:*:*:*:*:*:*:*

Версия от 6.0.0 (включая) до 6.0.4 (включая)

EPSS

Процентиль: 97%

0.31045

Средний

9.8 Critical

CVSS3

10 Critical

CVSS2

Дефекты

CWE-798

Связанные уязвимости

GHSA-wwc6-cvf7-4mc4

github

больше 3 лет назад

A use of hard-coded credentials (CWE-798) vulnerability in FortiPortal versions 5.2.5 and below, 5.3.5 and below, 6.0.4 and below, versions 5.1.x and 5.0.x may allow a remote and unauthenticated attacker to execute unauthorized commands as root by uploading and deploying malicious web application archive files using the default hard-coded Tomcat Manager username and password.

BDU:2021-04135

CVSS3: 10

fstec

больше 4 лет назад

Уязвимость инструмента аналитики и управления безопасностью Fortinet FortiPortal, связанная с жёстким кодированием регистрационных данных, позволяющая нарушителю выполнить произвольные команды

EPSS

Процентиль: 97%

0.31045

Средний

9.8 Critical

CVSS3

10 Critical

CVSS2

Дефекты

CWE-798