按 Enter 到主內容區
:::

TWCERT-電子報

:::
發布日期:
字型大小:

Fortinet FortiMail釋出升級版本補強cross-site scripting弱點

CVE編號 CVE-2017-7732
影響產品 FortiMail 5.3.0、5.3.8、5.3.9、5.2.0、5.2.3、5.2.9、5.1.1~5.1.5、5.0.0~5.0.8
解決辦法 (1)FortiMail 5.1以前設備,調整為系統預設值,取消客製化介面。
(2)FortiMail 5.2系列,升級5.2.10以上。
(3)FortiMail 5.3系列,升級5.3.10以上。
張貼日 2017-10-25
上稿單位 TWCERT/CC

●概述:
Fortinet FortiMail系列產品存在弱點,駭客可藉此執行惡意程式碼,取得受害者資料並竄改,Fortinet提供修補後版本。
●編註:
FortiMail在客製化Webmail登入頁面,存在輸入驗證瑕疵,使用者輸入HTML code內容,不會被Webmail頁面正常過濾惡性內容,故駭客能透過受害者瀏覽器進行XSS攻擊,欲完成該XSS攻擊,勢必先誘使受害者毫無戒備地連結特定URI(Universal Resource Identifier),讓java腳本程式碼於FortiMail網站設備發動,其後,惡意code在本應安全的網站環境執行,後果就是受害者cookies、近期透過Webmail頁面提交的資料遭竊用。

相關連結

  1. https://securitytracker.com/id/1039584
  2. http://fortiguard.com/psirt/FG-IR-17-099
  3. http://www.securityfocus.com/bid/101278/discuss
  4. https://sc01.alicdn.com/kf/HTB1fmshKFXXXXXSXpXXq6xXFXXXw/Fortinet-FortiMail-100C.jpg_350x350.jpg
回頁首