Vulnérabilité dans le portail VPN de FortiOS

Date de publication :

Une vulnérabilité a été découverte dans le portail VPN de FortiOS. Elle peut permettre à un attaquant distant de provoquer une exécution de code arbitraire.

CVE-2019-15706 [Score CVSS v3 : En cours de calcul] : Une vulnérabilité pouvant permettre une attaque de type “stored XSS” a été découverte dans le portail VPN SSL de FortiOS. Elle est due à une neutralisation incorrecte d’entrées lors de la génération d’une page web et peut permettre à un attaquant distant et non authentifié d’exécuter du code arbitraire s’il réussit à convaincre un utilisateur à cliquer sur un lien spécialement conçu.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Exécution de code arbitraire

Criticité

    Score CVSS v3 : En cours de calcul

Existence d’un code d’exploitation

    Aucun code d’exploitation n’est disponible publiquement

Composants vulnérables

    FortiOS versions 6.2.1 et antérieures 

    FortiOS versions 6.0.8 et antérieures

    FortiOS versions 5.6.12 et antérieures.

CVE

    CVE-2019-15706

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour FortiOS vers une version non vulnérable (6.2.2, 6.0.9, 5.6.13 ou supérieure)

Solution de contournement

  • Aucune solution de contournement

Liens