← voltar
CVE-2018-13383

CVE-2018-13383

CVSS 4.3 MEDIUMEPSS 33.6%● KEVCWE-787
Vexday Risk Score
55Atenção
Decisão SSVC (CISA)
Attend
PoC disponível → acompanhar de perto
CVSS 4.3EPSS 33.6%KEV simPoC Nuclei Metasploit Patch
Ciclo de vida
29 mai 2019Publicada no NVD
10 jan 2022Exploração ativa (CISA KEV)
Recomendação: Planejar correção próxima — já existe PoC pública.
Em resumo

Os portais SSL VPN do FortiOS e FortiProxy têm uma falha de estouro de memória que pode derrubar o serviço de VPN ao processar conteúdo malicioso de páginas web. Atacantes com acesso ao portal podem provocar essa queda, interrompendo temporariamente o serviço de VPN para outros usuários.

Detalhe técnico

Existe um estouro de buffer heap no mecanismo de tratamento de href JavaScript do portal SSL VPN em várias versões do FortiOS e FortiProxy. Um atacante autenticado pode explorar isso por meio de dados de href JavaScript especialmente construídos para causar negação de serviço terminando o serviço SSL VPN. A vulnerabilidade requer que o atacante tenha acesso válido ao portal e que a versão vulnerável esteja implantada.

Resumo gerado e traduzido por IA a partir da descrição oficial.
A heap buffer overflow in Fortinet FortiOS 6.0.0 through 6.0.4, 5.6.0 through 5.6.10, 5.4.0 through 5.4.12, 5.2.14 and earlier and FortiProxy 2.0.0, 1.2.8 and earlier in the SSL VPN web portal may cause the SSL VPN web service termination for logged in users due to a failure to properly handle javascript href data when proxying webpages.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L
Produtos afetados
Fortinet · Fortinet FortiOS and FortiProxy

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://fortiguard.com/advisory/FG-IR-18-388https://fortiguard.com/advisory/FG-IR-20-229https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2018-13383