Omisión de autenticación en FortiWAN de Fortinet

Múltiples vulnerabilidades en productos Juniper

Descripción

Una vulnerabilidad de limitación incorrecta de nombre de ruta relativa a un directorio restringido (Relative Path Traversal) en FortiWAN podría permitir a un atacante remoto, no autenticado, eliminar archivos en el sistema enviando una solicitud POST especialmente diseñada. En particular, la eliminación de archivos de configuración específicos restablecerá la contraseña de administrador a su valor predeterminado. Se ha asignado el identificador CVE-2021-26102 para esta vulnerabilidad.

Recursos afectados

Los recursos afectados son los siguientes:

  • FortiWAN, versiones 4.5.7 y anteriores

Solución

Para corregir esta vulnerabilidad basta con actualizar a la próximas versiones:

  • FortiWAN 4.5.8 o superior
  • FortiWAN 5.1.1 o superior

También se puede aplicar como medida de mitigación, en lugar de permitir el acceso administrativo desde cualquier fuente, restringir a los hosts internos de confianza.

Referencias

FortiGuard Labs Advisory

Artículos relacionados

Múltiples vulnerabilidades en productos Juniper

Etiqueta Seresco