CVE-2023-48783
CVE-2023-48783
En resumen
Un usuario con permisos de solo lectura en PortiPortal puede engañar al sistema para acceder a datos de otras organizaciones mediante solicitudes especialmente diseñadas. Esto evita las protecciones que deberían prevenir este acceso entre organizaciones.
Detalle técnico
Una vulnerabilidad de omisión de autorización en PortiPortal permite que usuarios autenticados con privilegios mínimos accedan a endpoints de otras organizaciones a través de solicitudes GET manipuladas. La vulnerabilidad explota validación insuficiente de identificadores controlados por el usuario para reforzar límites de acceso entre organizaciones, permitiendo escalación lateral de privilegios.
Resumen generado y traducido por IA a partir de la descripción oficial.
An Authorization Bypass Through User-Controlled Key vulnerability [CWE-639] affecting PortiPortal version 7.2.1 and below, version 7.0.6 and below, version 6.0.14 and below, version 5.3.8 and below may allow a remote authenticated user with at least read-only permissions to access to other organization endpoints via crafted GET requests.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N/E:P/RL:X/RC:R
Productos afectados
Fortinet · FortiPortal¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://fortiguard.com/psirt/FG-IR-23-408