ГлавнаяБаза уязвимостей БДУ → BDU:2019-02981
7.8высокая

BDU:2019-02981 (CVE-2018-13379)

Уязвимость SSL VPN веб-портала операционной системы FortiOS, позволяющая нарушителю получить доступ к системным файлам
Опубликовано: 2019-08-27
Описание

Уязвимость SSL VPN веб-портала операционной системы FortiOS существует из-за неверного ограничения имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к системным файлам, путем отправки специально сформированного HTTP-запроса

Затрагиваемое ПО и версии
FortiOS (от 5.6.3 до 5.6.7 включительно)FortiOS (от 6.0.0 до 6.0.4 включительно)FortiOS (от 5.4 до 5.4.12 включительно)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
1. Полное отключение службы IPSEC-VPN и SSL-VPN (как в веб-режиме, так и в туннельном режиме).
2. Выполнение смены пароля для всех учетных записей.
3. Включение многофакторной аутентификации.

Использование рекомендаций:
https://fortiguard.com/psirt/FG-IR-18-384

Оценка CVSS
Балл7.8 — высокая опасность
Источники и патчи
https://www.exploit-db.com/exploits/47287https://fortiguard.com/psirt/FG-IR-18-384https://www.cvedetails.com/cve/CVE-2018-13379/https://nvd.nist.gov/vuln/detail/CVE-2018-13379
Проверьте безопасность своего сайта и почты → Полная проверка домена