DFN-CERT-2016-1140 FortiManager, FortiAnalyzer: Eine Schwachstelle ermöglicht einen Cross-Site-Scripting-Angriff [Netzwerk]

DFN-CERT portal at dfn-cert.de
Fri Jul 15 15:15:01 CEST 2016


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

  FortiNet FortiAnalyzer Firmware >= 5.0.0
  FortiNet FortiAnalyzer Firmware <= 5.0.11
  FortiNet FortiAnalyzer Firmware >= 5.2.0
  FortiNet FortiAnalyzer Firmware <= 5.2.5
  FortiNet FortiManager Firmware >= 5.0.0
  FortiNet FortiManager Firmware <= 5.0.11
  FortiNet FortiManager Firmware >= 5.2.0
  FortiNet FortiManager Firmware <= 5.2.5
  

Betroffene Plattformen:

  FortiNet FortiAnalyzer
  FortiNet FortiManager
  


Ein entfernter, einfach authentisierter Angreifer kann einen persistenten
Cross-Site-Scripting (XSS)-Angriff gegen einen Benutzer der
Web-Schnittstelle eines betroffenen Systems durchführen.

FortiNet bestätigt die Schwachstelle für die Versionen 5.0.0 - 5.0.11 und
5.2.0 - 5.2.5 von FortiManager und FortiAnalyzer und stellt die Versionen
5.2.6 und 5.4.0 als Sicherheitsupdates zur Behebung der Schwachstelle
bereit.


Patch:

  FortiGuard Advisory 20160714 (CVE-2016-3196)

  <https://fortiguard.com/advisory/fortimanager-and-fortianalyzer-persistent-xss-vulnerability>


CVE-2016-3196: Schwachstelle in FortiManager und FortiAnalyzer ermöglicht
  persistenten Cross-Site-Scripting-Angriff 

  Eine Schwachstelle existiert im FortiManager und FortiAnalyzer aufgrund
  ungenügender Überprüfung bzw. Filterung von Dateinamen, die von Benutzern
  beim Hochladen von Bildern im Report-Abschnitt als Eingabe übergeben werden.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2016-1140/>

FortiGuard Advisory 20160714 (CVE-2016-3196):
  <https://fortiguard.com/advisory/fortimanager-and-fortianalyzer-persistent-xss-vulnerability>

Schwachstelle CVE-2016-3196 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3196>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 4686 bytes
Desc: not available
URL: <https://lists.cert.uni-stuttgart.de/pipermail/security-announce/attachments/20160715/b75ec05f/attachment.bin>


More information about the Security-Announce mailing list