CVE-2018-13382
CVE-2018-13382
Em resumo
Um atacante não autenticado consegue mudar a senha de usuários do SSL VPN sem fazer login, enviando requisições especialmente criadas para o portal web. Isso é crítico porque permite acesso não autorizado ao sistema VPN.
Detalhe técnico
Uma falha de autorização inadequada na função de redefinição de senha do portal SSL VPN não valida corretamente a identidade do usuário, permitindo que requisições HTTP não autenticadas modifiquem senhas de usuários arbitrários. A vulnerabilidade afeta múltiplos produtos Fortinet em intervalos de versão específicos e não requer autenticação prévia ou interação do usuário.
Resumo gerado e traduzido por IA a partir da descrição oficial.
An Improper Authorization vulnerability in Fortinet FortiOS 6.0.0 to 6.0.4, 5.6.0 to 5.6.8 and 5.4.1 to 5.4.10 and FortiProxy 2.0.0, 1.2.0 to 1.2.8, 1.1.0 to 1.1.6, 1.0.0 to 1.0.7 under SSL VPN web portal allows an unauthenticated attacker to modify the password of an SSL VPN web portal user via specially crafted HTTP requests
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
Produtos afetados
Fortinet · Fortinet FortiOS, FortiProxyPoCs públicas encontradas — 4
githubgithub.com/milo2012/CVE-2018-13382★ 146githubgithub.com/tumikoto/Exploit-FortinetMagicBackdoor★ 1githubgithub.com/cojoben/CVE-2018-13382★ 0exploitdbwww.exploit-db.com/exploits/49074não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →