Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
Fortinet FortiOS
(5.2.10, 5.2.11, 5.2.12, 5.2.13, 5.2.14, 5.2.15, 5.4.0, 5.4.1, 5.4.10, 5.4.11, 5.4.12, 5.4.13, 5.4.2, 5.4.3, 5.4.4, 5.4.5, 5.4.6, 5.4.7, 5.4.8, 5.4.9, 5.6.0, 5.6.1, 5.6.10, 5.6.11, 5.6.12, 5.6.13, 5.6.14, 5.6.2, 5.6.3, 5.6.4, 5.6.5, 5.6.6, 5.6.7, 5.6.8, 5.6.9, 6.0.0, 6.0.1, 6.0.10, 6.0.11, 6.0.12, 6.0.2, 6.0.3, 6.0.4, 6.0.5, 6.0.6, 6.0.7, 6.0.8, 6.0.9, 6.2.0, 6.2.1, 6.2.2, 6.2.3, 6.2.4, 6.2.5, 6.2.6, 6.2.7, 6.4.0, 6.4.1, 6.4.2, 6.4.3, 6.4.4)
Описание
Некорректная обработка (очистка) входных данных веб-порталом SSL VPN в FortiOS и FortiProxy позволяет злоумышленникам, действующим удаленно и не прошедшим аутентификацию, осуществить отраженное межсайтовое выполнение сценариев, запросив страницу ошибки со специально сформированными параметрами GET.
Как исправить
Используйте рекомендации производителя:
https://www.fortiguard.com/psirt/FG-IR-20-199
https://www.fortiguard.com/psirt/FG-IR-20-199
Ссылки
Источник: CVE
Наименование: CVE-2021-26092
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26092
Наименование: CVE-2021-26092
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26092