Pasar al contenido principal
#UruguaySeVacuna: Agendate y accedé a toda la información sobre las vacunas.
Vulnerabilidad

Vulnerabilidad crítica de Fortinet FortiWeb

Creación: 07/07/2016
Última actualización: 26/11/2018
Fortinet alerta acerca de una vulnerabilidad (CVE-2016-4066) de cross-site request forgery (CSRF) en dispositivos FortiWeb. Explotando esta vulnerabilidad, un atacante podría modificar la contraseña administrativa de FortiWeb. Accedé a las recomendaciones.
Logo de Fortinet.

Fortinet ha publicado un boletín de seguridad para alertar de una vulnerabilidad (CVE-2016-4066) de cross-site request forgery (CSRF) en dispositivos FortiWeb. Explotando esta vulnerabilidad, un atacante podría modificar la contraseña administrativa de FortiWeb.

A quienes utilicen FortiWeb, se les recomienda actualizar a la versión FortWeb 5.5.3 o posterior.

Descripción

El problema con CVE-2016-4066 reside en un error de validación de las entradas del usuario que podría permitir a un atacante remoto realizar ataques de cross-site request forgery.

Cross-Site Request Forgery (CSRF) es un tipo de ataque que fuerza a un usuario final a ejecutar acciones no deseadas en una aplicación web en la que se encuentra autenticado.

Los ataques del tipo CSRF están dirigidos a peticiones de cambio de estado, no así al robo de información, ya que el atacante no tiene forma de ver la respuesta a sus solicitudes. Si el atacante utiliza ingeniería social, como por ejemplo, el envío de un link via correo electrónico, puede engañar a los usuarios de una aplicación web para que ejecuten acciones a su elección. Si la víctima es un usuario con privilegios de administrador, CSRF podría llegar a comprometer la aplicación completamente.

Sistemas afectados:
Versiones anteriores de FortWeb 5.5.3.

Tipo de impacto:
Modificación de contraseña de usuario administrador.

Solución:
Para solucionarlo se debe actualizar a la versión FortWeb 5.5.3 o posterior.

Links de Interés:

Etiquetas