Vulnérabilité dans FortiNAC
Date de publication :
CVE-2021-43065[Score CVSS v3.1: 7.6]
Une vulnérabilité du type « attribution d'autorisation incorrecte» a été découverte sur les produits FortiNAC. Pour l’instant, peu de données techniques sont présentes en sources ouvertes .
Cette vulnérabilité pourrait permettre à un attaquant authentifié sur le système d'élever ses privilèges. La vulnérabilité existe en raison d'une attribution d'autorisation incorrecte concernant certaines données sensibles. Un utilisateur authentifié pourrait avec une requête forgée accéder à des données lui permettant d’élever ses privilèges.
Il n'y a aucune preuve que cette vulnérabilité soit exploitée.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
· Atteinte à la confidentialité des données
· Elévation de privilèges
Criticité
· Score CVSS v3.1: 7.6 AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N/E:U/RL:O/RC:C
La faille est activement exploitée
• Non
Un correctif existe
· Oui
Une mesure de contournement temporaire existe
- Non
La vulnérabilité exploitée est de type
· CWE-732: Incorrect Permission Assignment for Critical Resource
Détails sur l’exploitation
· Vecteur d’attaque : local
· Complexité de l’attaque :En attente d’information
· Privilèges nécessaires pour réaliser l’attaque : Utilisateur Authentifié requis
· Une modification de l’interaction de l’utilisateur connecté est-elle nécessaire: Non
· L’exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Composants vulnérables.
· Cette vulnérabilité concerne les produits
o FortiNAC version 9.2.0 et inférieure,
o FortiNAC version 9.1.3 et inférieure,
Solutions ou recommandations
Le laboratoire Fortigate recommande suivant les versions :
·
Mettre à niveau vers la prochaine version FortiNAC 10.0.0 ou supérieure,
·
Mettre à niveau vers FortiNAC version 9.2.1 ou supérieure,
·
Mettre à niveau vers FortiNAC version 9.1.4 ou supérieure,
·
Mettre à niveau vers FortiNAC version 8.8.10 ou supérieure.