Неправильное ограничение пути к уязвимости ограниченного каталога («обход пути») [CWE-22] в Fortinet FortiOS версий 7.2.0–7.2.3, 7.0.0–7.0.9 и ранее 6.4.11 позволяет привилегированному злоумышленнику читать и записывать файлы в базовой системе Linux с помощью специально созданных команд CLI.
Показать оригинальное описание (EN)
A improper limitation of a pathname to a restricted directory vulnerability ('path traversal') [CWE-22] in Fortinet FortiOS version 7.2.0 through 7.2.3, 7.0.0 through 7.0.9 and before 6.4.11 allows a privileged attacker to read and write files on the underlying Linux system via crafted CLI commands.
Характеристики атаки
Способ атаки
Локальный
Нужен локальный доступ
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 5
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Fortinet Fortios
cpe:2.3:o:fortinet:fortios:*:*:*:*:*:*:*:*
|
6.0.0
|
<= 6.0.16
|
|
Fortinet Fortios
cpe:2.3:o:fortinet:fortios:*:*:*:*:*:*:*:*
|
6.2.0
|
6.2.14
|
|
Fortinet Fortios
cpe:2.3:o:fortinet:fortios:*:*:*:*:*:*:*:*
|
6.4.0
|
6.4.12
|
|
Fortinet Fortios
cpe:2.3:o:fortinet:fortios:*:*:*:*:*:*:*:*
|
7.0.0
|
7.0.10
|
|
Fortinet Fortios
cpe:2.3:o:fortinet:fortios:*:*:*:*:*:*:*:*
|
7.2.0
|
7.2.4
|