发布日期：2019-06-12
更新日期：2019-06-18

受影响系统：

Fontinet Fortiweb 6.0.2
Fontinet Fortiweb 6.0.1
Fontinet Fortiweb 6.0
Fontinet Fortiweb 5.9.1
Fontinet Fortiweb 5.7
Fontinet Fortiweb 5.6.1
Fontinet Fortiweb 5.6
Fontinet Fortiweb 5.5
Fontinet Fortiweb 5.4
Fontinet Fortiweb 5.1
Fontinet Fortiweb 5.0.1
Fontinet Fortiweb 5.0.0

不受影响系统：

Fontinet Fortiweb 6.1.1
Fontinet Fortiweb 6.0.3

描述：

---

BUGTRAQ  ID: 108786
CVE(CAN) ID: CVE-2019-5590

FortiWeb 是一款保护、负载平衡与加速web应用、数据库之间讯息交换的web应用层防火墙。无论是对大型企业、服务供货商、或云端服务提供商，提供应用程序的保护，FortiWeb设备将会大大缩短部署时间，并简化安全管理。

Fortinet Fortiweb容易出现跨站点脚本漏洞，因为它无法正确清理用户提供的输入。

攻击者可以利用此问题在受影响站点的上下文中在毫无戒心的用户的浏览器中执行任意脚本代码。这可能允许攻击者窃取基于cookie的身份验证凭据并发起其他攻击。

<*来源：@bzyo_
  
  链接：https://fortiguard.com/psirt/FG-IR-19-070
*>

建议：

---

厂商补丁：

Fontinet
--------
Fontinet已经为此发布了一个安全公告（FG-IR-19-070）以及相应补丁:
FG-IR-19-070：Cross-Site-Scripting (XSS) vulnerabilty in Fortiweb reports
链接：https://fortiguard.com/psirt/FG-IR-19-070

补丁下载：

浏览次数：1360
严重程度：0（网友投票）