Giuseppe Cocomazzi, del equipo de seguridad de productos de Fortinet, ha reportado una vulnerabilidad de severidad crítica de omisión de autenticación en FortiMail.

Recursos afectados: 

FortiMail, versiones:

• 7.0.0 y anteriores;
• 6.4.5 y anteriores;
• 6.2.7 y anteriores;
• 6.0.11 y anteriores;
• 5.4.12 y anteriores.

Descripción:

Una vulnerabilidad de autenticación inadecuada podría permitir a un atacante remoto averiguar el token de autenticación de una cuenta administrativa mediante la observación de ciertas propiedades del sistema. Se ha asignado el identificador CVE-2021-36166 para esta vulnerabilidad.

Recomendaciones:

Actualizar FortiMail a las versiones:

• 7.0.1;
• 6.4.6;
• 6.2.8;
• 6.0.12.

Referencias:

• https://www.fortiguard.com/psirt/FG-IR-21-028
• https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/omision-autenticacion-administrativa-fortimail-fortinet