یک آسیب پذیری XSS همراه با یک آسیب پذیری URI-redirection در سیستم عامل Fortinet FortiOS با کد CVE-2017-14186 شناسایی شده است که به دلیل عدم پاکسازی مناسب ورودی کاربر توسط برنامه اتفاق می افتد.
در این آسیب پذیری یک کاربر احرازهویت شده در پرتال وب SSL مربوطه قادر خواهد بود تا یک اسکریپت وب یا کد HTML را از طریق پارامتر redir login در محتوای مرورگر قربانی تزریق نماید. هم چنین امکان حمله URI-redirection از طریق تزریق یک URL خارجی در پارامتر فوق وجود دارد. علاوه بر این دو حمله مهاجم قادر به انجام حمله سرقت حساب های کاربری وابسته به کوکی کاربر و حمله phishing نیز خواهد بود.
این آسیب پذیری در نسخه های FortiOS 5.0 و قبل از آن، 5.2.0 تا 5.2.12 ، 5.4.0 تا 5.4.6 و 5.6.0 تا 5.6.2 وجود دارد.
- منبع:
- http://www.securityfocus.com/bid/101955/discuss
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-14186