← voltar
CVE-2020-12812

CVE-2020-12812

CVSS 9.8 CRITICALEPSS 49.3%● KEVCWE-287
Em resumo

Uma falha na VPN SSL do Fortinet permite contornar a autenticação de dois fatores simplesmente mudando as letras maiúsculas e minúsculas do nome de usuário. Isto é crítico porque permite que invasores acessem redes protegidas sem precisar do segundo fator de autenticação.

Detalhe técnico

Existe uma vulnerabilidade de autenticação imprópria no SSL VPN do FortiOS onde a validação do nome de usuário não diferencia maiúsculas de minúsculas corretamente durante as verificações do segundo fator. Um atacante não autenticado pode contornar o requisito de FortiToken enviando credenciais com o nome de usuário em caso alterado, eliminando completamente o mecanismo de autenticação multifator.

Resumo gerado e traduzido por IA a partir da descrição oficial.
An improper authentication vulnerability in SSL VPN in FortiOS 6.4.0, 6.2.0 to 6.2.3, 6.0.9 and below may result in a user being able to log in successfully without being prompted for the second factor of authentication (FortiToken) if they changed the case of their username.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · Fortinet FortiOS

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://fortiguard.com/psirt/FG-IR-19-283https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2020-12812