CVE-2026-24858
CVE-2026-24858
Em resumo
Uma falha em produtos Fortinet permite que atacantes com uma conta FortiCloud façam login em dispositivos de outros usuários quando o SSO FortiCloud está ativado. Isso ignora a autenticação normal e concede acesso não autorizado a sistemas sensíveis.
Detalhe técnico
Bypass de autenticação via canal alternativo (CWE-288) afetando múltiplos produtos Fortinet com SSO FortiCloud habilitado. Um atacante com qualquer conta FortiCloud válida e dispositivo registrado pode se autenticar como outros usuários em dispositivos não relacionados. A vulnerabilidade explora validação inadequada de credenciais SSO entre limites de dispositivo.
Resumo gerado e traduzido por IA a partir da descrição oficial.
An Authentication Bypass Using an Alternate Path or Channel vulnerability [CWE-288] vulnerability in Fortinet FortiAnalyzer 7.6.0 through 7.6.5, FortiAnalyzer 7.4.0 through 7.4.9, FortiAnalyzer 7.2.0 through 7.2.11, FortiAnalyzer 7.0.0 through 7.0.15, FortiManager 7.6.0 through 7.6.5, FortiManager 7.4.0 through 7.4.9, FortiManager 7.2.0 through 7.2.11, FortiManager 7.0.0 through 7.0.15, FortiNAC-F 7.6.3 through 7.6.5, FortiOS 7.6.0 through 7.6.5, FortiOS 7.4.0 through 7.4.10, FortiOS 7.2.0 through 7.2.12, FortiOS 7.0.0 through 7.0.18, FortiProxy 7.6.0 through 7.6.4, FortiProxy 7.4.0 through 7.4.12, FortiProxy 7.2.0 through 7.2.15, FortiProxy 7.0.0 through 7.0.22, FortiWeb 8.0.0 through 8.0.3, FortiWeb 7.6.0 through 7.6.6, FortiWeb 7.4.0 through 7.4.11 may allow an attacker with a FortiCloud account and a registered device to log into other devices registered to other accounts, if FortiCloud SSO authentication is enabled on those devices.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:H/RL:O/RC:C
Produtos afetados
Fortinet · FortiAnalyzerFortinet · FortiManagerFortinet · FortiNAC-FFortinet · FortiOSFortinet · FortiProxyFortinet · FortiWebQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →