Неправильное ограничение пути к уязвимости ограниченного каталога («обход пути») [CWE-22] в Fortinet FortiOS версий 7.2.0–7.2.3, 7.0.0–7.0.9 и ранее 6.4.11 позволяет привилегированному злоумышленнику читать и записывать файлы в базовой системе Linux с помощью специально созданных команд CLI.
Показать оригинальное описание (английский)
A improper limitation of a pathname to a restricted directory vulnerability ('path traversal') [CWE-22] in Fortinet FortiOS version 7.2.0 through 7.2.3, 7.0.0 through 7.0.9 and before 6.4.11 allows a privileged attacker to read and write files on the underlying Linux system via crafted CLI commands.
Матрица атаки
Вектор атаки
Локальный
Локальный доступ
Сложность атаки
Низкая
Легко эксплуатировать
Требуемые привилегии
Низкие
Нужны базовые права
Взаимодействие с пользователем
Не требуется
Не нужно действие пользователя
Влияние на конфиденциальность
Высокое
Полная утечка данных
Влияние на целостность
Высокое
Полная модификация
Влияние на доступность
Нет
Нет отказа в обслуживании
СТРОКА CVSS ВЕКТОРА
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
Тип уязвимости (CWE)
Уязвимые продукты
fortinet:fortios
Известные затронутые конфигурации ПО
| Конфигурация | От (включительно) | До (не включая) |
|---|---|---|
|
cpe:2.3:o:fortinet:fortios:*:*:*:*:*:*:*:*
Fortinet:Fortios
|
6.0.0 | <= 6.0.16 |
|
cpe:2.3:o:fortinet:fortios:*:*:*:*:*:*:*:*
Fortinet:Fortios
|
6.2.0 | 6.2.14 |
|
cpe:2.3:o:fortinet:fortios:*:*:*:*:*:*:*:*
Fortinet:Fortios
|
6.4.0 | 6.4.12 |
|
cpe:2.3:o:fortinet:fortios:*:*:*:*:*:*:*:*
Fortinet:Fortios
|
7.0.0 | 7.0.10 |
|
cpe:2.3:o:fortinet:fortios:*:*:*:*:*:*:*:*
Fortinet:Fortios
|
7.2.0 | 7.2.4 |