| Produkt | FortiDeceptor, wersja 3.1.0 i wcześniejsze FortiDeceptor, wersja 3.0.1 i wcześniejsze |
| Numer CVE | CVE-2020-29017 |
| Krytyczność | 8.1 / 10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Opis | Luka spowodowana jest nieprawidłowym sprawdzaniem poprawności danych wejściowych na stronie ”Customization”. Zdalny atakujący może wysłać specjalnie spreparowane żądanie do aplikacji i wykonać dowolne polecenia systemu operacyjnego. |
| Aktualizacja | TAK |
| Link | https://www.fortiguard.com/psirt/FG-IR-20-177 |
| Produkt | FortiGate, wersja 6.0.10 i wcześniejsze FortiGate, wersja 6.2.4 i wcześniejsze FortiGate wersja 6.4.1 i wcześniejsze |
| Numer CVE | CVE-2020-29010 |
| Krytyczność | 4.9 / 10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Opis | Luka istnieje, ponieważ FortiGate może pozwolić zdalnemu uwierzytelnionemu użytkownikowi odczytać wpisy dziennika zdarzeń SSL VPN użytkowników w innych VDOM przez wykonanie polecenia „get vpn ssl monitor” z interfejsu wiersza polecenia. W rezultacie zdalny użytkownik może uzyskać poufne dane, które obejmują nazwy użytkowników, grupy użytkowników i adresy IP. |
| Aktualizacja | TAK |
| Link | https://www.fortiguard.com/psirt/FG-IR-20-103 |
| Produkt | FortiWeb, wersja 6.3.7 i wcześniejsze FortiWeb, wersja 6.2.3 i wcześniejsze |
| Numer CVE | CVE-2020-29015 |
| Krytyczność | 6.4 / 10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Opis | Luka spowodowana jest niewystarczającym oczyszczaniem danych dostarczonych przez użytkownika, przekazanych w nagłówku autoryzacji. Zdalny, nieuwierzytelniony atakujący może wysłać spreparowane żądanie do aplikacji i wykonać dowolne polecenia SQL w bazie danych. |
| Numer CVE | CVE-2020-29019 |
| Krytyczność | 6.4 / 10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Opis | Luka spowodowana jest błędem podczas przetwarzania plików cookie HTTP. Zdalny, uwierzytelniony atakujący może wysłać spreparowane żądanie HTTP ze zniekształconymi plikami cookie HTTP i spowodować awarię demona httpd. |
| Aktualizacja | TAK |
| Link | https://www.fortiguard.com/psirt/%20FG-IR-20-124 https://www.fortiguard.com/psirt/%20FG-IR-20-126 |
| Produkt | FortiWeb, wersja 6.3.5 i wcześniejsze |
| Numer CVE | CVE-2020-29018 |
| Krytyczność | 5.3 / 10 |
| CVSS | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N |
| Opis | Luka związana jest z błędem podczas przetwarzania danych przekazanych przez parametr „redir”. Zdalny, uwierzytelniony atakujący może wysłać spreparowane żądanie zawierające specyfikatory formatu string i odczytać zawartość pamięci w systemie. |
| Aktualizacja | TAK |
| Link | https://www.fortiguard.com/psirt/FG-IR-20-123 |
| Produkt | FortiWeb, wersja 6.3.5 i wcześniejsze FortiWeb, wersja 6.2.3 i wcześniejsze |
| Numer CVE | CVE-2020-29016 |
| Krytyczność | 6.4 / 10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Opis | Luka spowodowana jest błędem podczas przetwarzania plików cookie HTTP. Zdalny, uwierzytelniony atakujący może wysłać spreparowane żądanie powodując przepełnienie bufora na stosie, co może pozwolić mu na wykonanie dowolnego kodu. |
| Aktualizacja | TAK |
| Link | https://www.fortiguard.com/psirt/FG-IR-20-125 |
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny