Компания Vulnerability Lab раскрыла детали нескольких уязвимостей в корпоративных продуктах безопасности Fortinet, обнаруженных специалистами в этом году. Большинство из этих уязвимостей связаны с проблемой межсайтового скриптинга (XSS). Vulnerability Lab сообщали об этих дырах в январе, феврале и мае.
Большая часть уязвимостей была найдена в веб-интерфейсе Fortinet FortiManager и FortiAnalyzer.
Согласно Vulnerability Lab, уязвимости могут быть использованы злоумышленником удаленно с доступом к учетной записи пользователя и позволяют внедрить произвольный код в приложение. Успешная эксплуатация требует, чтобы пользователь нажал на ссылку или посетил определенную страницу, содержащую вредоносный код.
Также бреши были найдены в Fortinet’s FortiVoice, они включают себя уязвимость обхода фильтра и все тот же межсайтовый скриптинг. Недостатки могут быть использованы удаленно и требуют низкого или среднего уровня взаимодействия с пользователем.
Еще одни XSSуязвимости эксперты обнаружили в продукте FortiCloud. Злоумышленник может внедрить код в страницу со сводкой отчетов (Summary Report page) и он запустится на выполнение, когда пользователь зайдет на эту страницу.
Fortinet опубликовала свою заметку относительно одной из уязвимостей (), но Vulnerability Lab уверены, что компания выпустит патчи и для других брешей. Пользователям рекомендуется обновить свои продукты Fortinet.
Исследователи опубликовали детальный по каждой найденной уязвимости.
