CVE-2023-48783
CVE-2023-48783
Em resumo
Um usuário com permissão de apenas leitura no PortiPortal pode enganar o sistema para acessar dados de outras organizações usando requisições especialmente preparadas. Isso ignora as proteções que deveriam impedir esse acesso cruzado.
Detalhe técnico
Uma falha de autorização no PortiPortal permite que usuários autenticados com privilégios mínimos acessem endpoints de outras organizações através de requisições GET manipuladas. A vulnerabilidade explora validação insuficiente de identificadores controlados pelo usuário para reforçar limites de acesso entre organizações, permitindo escalação lateral de privilégios.
Resumo gerado e traduzido por IA a partir da descrição oficial.
An Authorization Bypass Through User-Controlled Key vulnerability [CWE-639] affecting PortiPortal version 7.2.1 and below, version 7.0.6 and below, version 6.0.14 and below, version 5.3.8 and below may allow a remote authenticated user with at least read-only permissions to access to other organization endpoints via crafted GET requests.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N/E:P/RL:X/RC:R
Produtos afetados
Fortinet · FortiPortalQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://fortiguard.com/psirt/FG-IR-23-408