Fortinet corrige une vulnérabilité de script inter-sites dans FortiAuthenticator

FortiAuthenticator est vulnérable à une faille de type script inter-sites (XSS) présente dans la page "échec de validation CSRF" en raison d'un manque d'assainissement d'une variable. Lorsque la validation CSRF échoue suite à une non-concordance de référent, une page HTML est renvoyée à l'utilisateur. Cette page affiche le référent défectueux sans l'assainir. Par conséquent, dans un scénario d'attaque où le référent pourrait être manipulé, l'attaquant pourrait injecter des scripts malveillants dans la page HTML susmentionnée.

Informations
+

Impact

  • Exécution de code arbitraire.

Criticité

  • CVSS v3 : en cours d'analyse

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • FortAuthenticator versions antérieures à 5.3.0

CVE

  • CVE-2018-9186

Recommandations
+

Correctifs

  • La vulnérabilité est corrigée à partir de la version 5.3.0

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.