Kritiek lek in Fortinet Wireless Manager geeft toegang tot admin session tokens

[Captain Kirk]

Een kritieke path traversal-kwetsbaarheid in de Fortinet Wireless Manager (FortiWLM) maakt het voor een ongeauthenticeerde aanvaller mogelijk om toegang tot gevoelige bestanden te krijgen. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.6. Fortinet heeft beveiligingsupdates uitgebracht om het probleem te verhelpen.

Via de Fortinet Wireless Manager, een 'application suite', kunnen organisaties hun wifi-netwerken monitoren, bedienen en beheren. Fortinet geeft geen verdere details over de kwetsbaarheid (CVE-2023-34990), behalve dat het om een 'relative path traversal' kwetsbaarheid gaat die gevonden en gerapporteerd werd door een onderzoeker van securitybedrijf Horizon3.ai.

De onderzoeker maakte afgelopen maart meerdere kwetsbaarheden in FortiWLM openbaar die hij had ontdekt. Het ging onder andere om een beveiligingslek zonder CVE-nummer en update dat het mogelijk maakt om willekeurige logbestanden met admin session ID tokens te stelen en daarmee het apparaat over te nemen. Het beveiligingslek was op 12 mei 2023 aan Fortinet gemeld, aldus de onderzoeker.

 

 

bron: https://www.security.nl