CVE-2020-12812

CVSS 9.8 CRITICALEPSS 49.3%● KEVCWE-287

En resumen

Una falla en la VPN SSL de Fortinet permite eludir la autenticación de dos factores simplemente cambiando mayúsculas y minúsculas del nombre de usuario. Esto es crítico porque permite que atacantes accedan a redes protegidas sin necesidad del segundo factor de autenticación.

Detalle técnico

Existe una vulnerabilidad de autenticación inadecuada en SSL VPN de FortiOS donde la validación del nombre de usuario no se aplica correctamente con distinción de mayúsculas durante las comprobaciones del segundo factor. Un atacante no autenticado puede eludir el requisito de FortiToken presentando credenciales con el nombre de usuario en caso alterado, eliminando completamente el mecanismo de autenticación multifactor.

Resumen generado y traducido por IA a partir de la descripción oficial.

An improper authentication vulnerability in SSL VPN in FortiOS 6.4.0, 6.2.0 to 6.2.3, 6.0.9 and below may result in a user being able to log in successfully without being prompted for the second factor of authentication (FortiToken) if they changed the case of their username.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Productos afectados

n/a · Fortinet FortiOS

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://fortiguard.com/psirt/FG-IR-19-283 https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2020-12812