CVE-2023-36556

ALT: (8,8)

CVSS3: 7,7

Fortinet FortiMail podria permetre que un atacant remot autenticat eludís les restriccions de seguretat, causades per una vulnerabilitat d’autorització incorrecta. Mitjançant l’enviament d’una sol·licitud especialment dissenyada, un atacant podria explotar aquesta vulnerabilitat per prendre el compte de correu electrònic al mateix domini web.

Sistemes Afectats

• Fortinet FortiMail 7.2.2
• Fortinet FortiMail 7.2.1

Remediació
Consulteu el FortiGuard Advisory FG-IR-23-202 per obtenir informació sobre el pegat, l’actualització o la solució alternativa. Vegeu-ne les Referències.

Referències

• FortiMail – Email account takeover in same web domain
• An incorrect authorization vulnerability [CWE-863] in FortiMail webmail version 7.2.0 through 7.2.2, version 7.0.0 through 7.0.5 and below 6.4.7 allows an authenticated attacker to login on other users accounts from the same web domain via crafted HTTP or HTTPs requests.