- شناسه CVE-2024-35280 :CVE
- CWE-79 :CWE
- fortiguard.fortinet.com :Advisory
- منتشر شده: ژانویه 15, 2025
- به روز شده: ژانویه 15, 2025
- امتیاز: 5.1
- نوع حمله: Cross Site Scripting
- اثر گذاری: Command Execution
- برند: Fortinet Firewall Software
- محصول: FortiDeceptor
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
CVE-2024-35280 ، یک آسیب پذیری سطح متوسط در FortiDeceptor فایروال Fortinet تا نسخه 5.3.0 است که منجر به حمله Cross Site Scripting (XSS) می شود. حمله می تواند از راه دور راه اندازی شود.
توضیحات
آسیب پذیری پاکسازی نامناسب ورودی در زمان ایجاد صفحه وب در FortiDeceptor فایروال Fortinet، به مهاجم اجازه می دهد حمله reflected cross-site scripting را در ریکاوری endpoint ها اجرا کند
در واقع، محصول پاکسازی ورودی های تحت کنترل کاربر را پیش از آنکه در خروجی صفحه وب که در اختیار سایر کاربران قرار می گیرد جایگذاری کند، پاکسازی نکرده یا به اشتباه پاکسازی می کند. این مشکل بر روی محرمانگی و جامعیت محصول تاثیر می گذارد.
سیستم امتیاز دهی آسیب پذیری ها بر اساس استاندارد های تحقیقاتی حوزه نمره دهی به آسیب پذیری ها، امتیازات زیر را برای شدت اثرگذاری این آسیب پذیری در نظر گرفته است.
CVSS
| Score | Severity | Version | Vector String | ||
| 5.1 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N/E:P/RL:U/RC:C | ||
لیست محصولات آسیب پذیر
در زمان انتشار این اعلامیه، این آسیب پذیری برروی نسخه های زیر تاثیر می گذارد:
| Version | Affected |
| FortiDeceptor 5.3 | 5.3.0 |
| FortiDeceptor 5.2 | 5.2.0 |
| FortiDeceptor 5.1 | 5.1 تمامی نسخه ها |
| FortiDeceptor 5.0 | 5.0 تمامی نسخه ها |
| FortiDeceptor 4.3 | 4.3 تمامی نسخه ها |
| FortiDeceptor 4.2 | 4.2 تمامی نسخه ها |
| FortiDeceptor 4.1 | 4.1 تمامی نسخه ها |
| FortiDeceptor 4.0 | 4.0 تمامی نسخه ها |
| FortiDeceptor 3.3 | 3.3 تمامی نسخه ها |
| FortiDeceptor 3.2 | 3.2 تمامی نسخه ها |
| FortiDeceptor 3.1 | 3.1 تمامی نسخه ها |
| FortiDeceptor 3.0 | 3.0 تمامی نسخه ها |
لیست محصولات بروز شده
جهت رفع آسیب پذیری می توانید نسخه فعلی دستگاه خود را مطابق جدول زیر به نسخه های به روز شده ارتقا دهید:
| Version | Affected | Solution |
| FortiDeceptor 5.3 | 5.3.0 | ارتقا به نسخه 5.3.1 یا نسخه های بالاتر |
| FortiDeceptor 5.2 | 5.2.0 | ارتقا به نسخه 5.2.1 یا نسخه های بالاتر |
| FortiDeceptor 5.1 | 5.1 تمامی نسخه ها | ارتقا به یک نسخه اصلاح شده |
| FortiDeceptor 5.0 | 5.0 تمامی نسخه ها | ارتقا به یک نسخه اصلاح شده |
| FortiDeceptor 4.3 | 4.3 تمامی نسخه ها | ارتقا به یک نسخه اصلاح شده |
| FortiDeceptor 4.2 | 4.2 تمامی نسخه ها | ارتقا به یک نسخه اصلاح شده |
| FortiDeceptor 4.1 | 4.1 تمامی نسخه ها | ارتقا به یک نسخه اصلاح شده |
| FortiDeceptor 4.0 | 4.0 تمامی نسخه ها | ارتقا به یک نسخه اصلاح شده |
| FortiDeceptor 3.3 | 3.3 تمامی نسخه ها | ارتقا به یک نسخه اصلاح شده |
| FortiDeceptor 3.2 | 3.2 تمامی نسخه ها | ارتقا به یک نسخه اصلاح شده |
| FortiDeceptor 3.1 | 3.1 تمامی نسخه ها | ارتقا به یک نسخه اصلاح شده |
| FortiDeceptor 3.0 | 3.0 تمامی نسخه ها | ارتقا به یک نسخه اصلاح شده |
نتیجه گیری
آسیب پذیری فوق در دسته آسیب پذیری های سطح متوسط دسته بندی می شود. به منظور جلوگیری از این حملات نسخه فعلی را به نسخه های معرفی شده ارتقا دهید .
