El Equipo de Respuesta a Incidentes PSIRT de Fortiguard, división de ciberseguridad de Fortinet, ha hecho pública la existencia de un fallo de seguridad, identificado como CVE-2020-12815 y CVE-2020-12817, que permitiría a un atacante remoto realizar ejecución de código no autorizado mediante la inyección de etiquetas HTML en los productos FortiAnalyzer y FortiTester.
La vulnerabilidad existe debido a una neutralización inadecuada de entradas en FortiManager y FortiTester. Un atacante autenticado de forma remota puede inyectar etiquetas HTML relacionadas con secuencias de comandos a través de los campos «Storage Connectors Name Parameter» y «IPv4/IPv6 address», respectivamente.
La explotación exitosa de esta vulnerabilidad puede permitir a un atacante remoto ejecutar código no autorizado.
Los productos afectados son los siguientes:
- FortiTester versiones 3.8.0, 3.7.0 e inferiores.
- FortiAnalyzer versiones 6.2.5, 6.4.1 e inferiores
Fortinet ha solventado la vulnerabilidad indicada y recomienda realizar las siguientes actualizaciones:
- FortiTester 3.9.0 o superior
- FortiAnalyzer 6.2.6, 6.4.2 o superior
Mayor información: