CVE-2024-50562
ŚrednieCVSS 4.8Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 74 - wyżej niż 74% wszystkich znanych CVE
Streszczenie
W FortiOS SSL-VPN występuje podatność na niewystarczające wygasanie sesji, która pozwala atakującemu na ponowne zalogowanie się, posiadając ciasteczko używane do logowania, mimo że sesja wygasła lub została zakończona.
Ocena ryzyka
Ta podatność może prowadzić do nieautoryzowanego dostępu do zasobów organizacji, co stwarza poważne zagrożenie dla bezpieczeństwa danych.
Rekomendacja
Zaleca się aktualizację FortiOS SSL-VPN do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów zabezpieczających sesje użytkowników.
Oryginalny opis (angielski, źródło NVD)
An Insufficient Session Expiration vulnerability [CWE-613] in FortiOS SSL-VPN version 7.6.0, version 7.4.6 and below, version 7.2.10 and below, 7.0 all versions, 6.4 all versions may allow an attacker in possession of a cookie used to log in the SSL-VPN portal to log in again, although the session has expired or was logged out.

