Vulnérabilités dans plusieurs produits Fortinet

Date de publication :

CVE-2021-22123 [Score CVSS v3 : 8.8]

Une vulnérabilité d'injection de commande dans l'interface de gestion de FortiWeb a été corrigée. Son exploitation peut permettre à un attaquant distant et authentifié distant d'exécuter des commandes arbitraires sur le système via la page de configuration du serveur SAML.

CVE-2018-13382 [Score CVSS v3 : 7.5]

Une vulnérabilité d'autorisation incorrecte dans Fortinet FortiProxy sous le portail web VPN SSL a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié de modifier le mot de passe d'un utilisateur du portail web VPN SSL via des requêtes HTTP spécialement conçues.



CVE-2018-13379[Score CVSS v3 : 9.8]

Une limitation incorrecte d'un nom de chemin vers un répertoire restreint ("Path Traversal") dans Fortinet FortiProxy sous le portail web SSL VPN a été corrigée. Son exploitation peut permettre à un attaquant distant et non authentifié de télécharger des fichiers système via des requêtes de ressources HTTP spécialement conçues.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Exécution de code arbitraire

    Altération de données sensibles (mots de passe)

    Exposition d’informations sensibles

    Violation des politiques de sécurité

Criticité

    Scores CVSS v3: 9.8 max

Existence d’un code d’exploitation

    Aucun code d'exploitation ne sont disponibles publiquement à l’heure actuelle.

Composants vulnérables

Fortinet FortiWeb versions :

    6.3.7 et inférieures

    6.2.3 et inférieurs

    6.1.x

    6.0.x

    5.9.x 

Fortinet FortiOS versions :

    6.0.0 à 6.0.4

    5.6.0 à 5.6.8

    5.4.1 à 5.4.12

Fortinet Proxy SSL VPN :

    2.0.0

    1.2.8 et antérieures

    1.1.6 et antérieures

    1.0.7 et antérieures

CVE

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mettre à jour Fortinet FortiWeb vers une des versions suivantes :

  • 6.3.8

  • 6.2.4

Mettre à jour Fortinet FortiOS vers une des versions suivantes :

  • 6.0.5

  • 5.6.9

  • 5.4.13

Mettre à jour Fortinet FortiProxy vers une des versions suivantes :

  • 2.0.1

  • 1.2.9

Solution de contournement

  • Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.

Liens