FortiAuthenticator est vulnérable à une faille de type script inter-sites (XSS) présente dans la page "échec de validation CSRF" en raison d'un manque d'assainissement d'une variable. Lorsque la validation CSRF échoue suite à une non-concordance de référent, une page HTML est renvoyée à l'utilisateur. Cette page affiche le référent défectueux sans l'assainir. Par conséquent, dans un scénario d'attaque où le référent pourrait être manipulé, l'attaquant pourrait injecter des scripts malveillants dans la page HTML susmentionnée.
Informations
+
Impact
- Exécution de code arbitraire.
Criticité
- CVSS v3 : en cours d'analyse
Existence d’un code d’exploitation de la vulnérabilité
- Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.
Composants & versions vulnérables
- FortAuthenticator versions antérieures à 5.3.0
CVE
- CVE-2018-9186
Recommandations
+
Correctifs
- La vulnérabilité est corrigée à partir de la version 5.3.0
Solution de contournement
- Il n’existe pas actuellement de solution de contournement.
Liens
+