Уязвимость отсутствующей авторизации в Fortinet FortiAuthenticator 6.6.0–6.6.6, FortiAuthenticator 6.5 всех версий, FortiAuthenticator 6.4 всех версий, FortiAuthenticator 6.3 всех версий может позволить пользователю с доступом только для чтения вносить изменения для локальных пользователей посредством загрузки файла на незащищенную конечную точку.
Показать оригинальное описание (английский)
A missing authorization vulnerability in Fortinet FortiAuthenticator 6.6.0 through 6.6.6, FortiAuthenticator 6.5 all versions, FortiAuthenticator 6.4 all versions, FortiAuthenticator 6.3 all versions may allow a read-only user to make modification to local users via a file upload to an unprotected endpoint.
Матрица атаки
Вектор атаки
По сети
Атака по сети
Сложность атаки
Низкая
Легко эксплуатировать
Требуемые привилегии
Высокие
Нужны права админа
Взаимодействие с пользователем
Не требуется
Не нужно действие пользователя
Влияние на конфиденциальность
Высокое
Полная утечка данных
Влияние на целостность
Высокое
Полная модификация
Влияние на доступность
Высокое
Полный отказ в обслуживании
СТРОКА CVSS ВЕКТОРА
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H