Vulnerabilidad en FortiClient (CVE-2013-4669)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-255
Gestión de credenciales
Fecha de publicación:
25/06/2013
Última modificación:
11/04/2025
Descripción
FortiClient antes de v4.3.5.472 en Windows, antes v4.0.3.134 en Mac OS X, y antes en Android v4.0, FortiClient Lite antes de v4.3.4.461 para Windows, FortiClient Lite v2.0 hasta v2.0.0223 en Android, y FortiClient SSL VPN antes de v4.0.2258 en Linux continua con una sesión de SSL después de determinar que el certificado X.509 del servidor no es válido, lo que permite a atacantes man-in-the-middle obtener información sensible mediante el aprovechamiento de una transmisión con contraseña que se produce antes de la advertencia usuario sobre el problema de certificado.
Impacto
Puntuación base 2.0
5.40
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:fortinet:forticlient:*:*:*:*:*:*:*:* | 4.3.3.445 (incluyendo) | |
cpe:2.3:o:microsoft:windows:*:*:*:*:*:*:*:* | ||
cpe:2.3:a:fortinet:forticlient_lite:*:*:*:*:*:*:*:* | 4.3.3.445 (incluyendo) | |
cpe:2.3:o:microsoft:windows:*:*:*:*:*:*:*:* | ||
cpe:2.3:a:fortinet:forticlient_ssl_vpn:*:*:*:*:*:*:*:* | 4.0.2012 (incluyendo) | |
cpe:2.3:o:linux:linux_kernel:*:*:*:*:*:*:*:* | ||
cpe:2.3:a:fortinet:forticlient:*:*:*:*:*:*:*:* | 4.0.2 (incluyendo) | |
cpe:2.3:o:apple:mac_os_x:*:*:*:*:*:*:*:* | ||
cpe:2.3:a:fortinet:forticlient_lite:*:*:*:*:*:*:*:* | 2.0 (incluyendo) | |
cpe:2.3:o:google:android:*:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://archives.neohapsis.com/archives/fulldisclosure/2013-05/0001.html
- http://objectif-securite.ch/forticlient_bulletin.php
- http://www.fortiguard.com/advisory/Potential-Man-In-The-Middle-Vulnerability-in-FortiClient-VPN/
- http://www.securityfocus.com/bid/59604
- http://archives.neohapsis.com/archives/fulldisclosure/2013-05/0001.html
- http://objectif-securite.ch/forticlient_bulletin.php
- http://www.fortiguard.com/advisory/Potential-Man-In-The-Middle-Vulnerability-in-FortiClient-VPN/
- http://www.securityfocus.com/bid/59604