Vulnérabilités dans des produits Fortinet
Date de publication :
Des vulnérabilités ont été découvertes dans les produits Fortinet FortiWLC, un contrôleur wifi, et FortiDeceptor, un détecteur de menaces. Elles peuvent permettre à un attaquant de provoquer une exécution de code arbitraire ou une élévation de privilèges.
CVE-2020-6644 [Score CVSS v3 : 8.1] : Une vulnérabilité de type “expiration tardive de session” a été découverte dans FortiDeceptor. Un attaquant peut exploiter cette vulnérabilité en utilisant i’ID de session d’un administrateur afin d’obtenir ses privilèges administratifs.
CVE-2020-9288 [Score CVSS v3 : 5.4] : Une vulnérabilité de type “neutralisation incorrecte d’entrées” a été découverte dans FortiWLC. Elle peut permettre à un attaquant distant et authentifié d’effectuer une attaque XSS de second degré via le profil ESS ou Radius.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Elévation de privilèges
Exécution de code arbitraire
Criticité
Score CVSS v3 : 8.1 et 5.4
Existence d’un code d’exploitation
Aucun code d’exploitation n’est disponible actuellement
Composants vulnérables
FortiDeceptor version 3.0.0 et précédentes
FortiWLC version 8.5.1 et précédentes
CVE
CVE-2020-6644
CVE-2020-9288
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour FortiDeceptor à la version 3.1.0 ou supérieure
Mettre à jour FortWLC à la version 8.5.2 ou supérieure
Solution de contournement
Aucune solution de contournement n’est disponible