Vulnérabilités dans FortiAnalyzer et FortiTester

Date de publication : 22/09/2020

Deux vulnérabilités ont été découvertes dans FortiAnalyzer et FortiTester, deux outils de sécurité proposés par l’éditeur Fortinet. Elles peuvent permettre à un attaquant distant de provoquer une exécution de code arbitraire.

CVE-2020-12815, CVE-2020-12817 [Score CVSS v3 : En cours de calcul] : Des vulnérabilités de type “neutralisation incorrecte d’entrées” ont été découvertes dans FortiAnalyzer et FortiTester. Elles peuvent permettre à un attaquant distant et authentifié d’injecter du script HTML afin de provoquer une exécution de code arbitraire.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Exécution de code arbitraire

Criticité

Score CVSS v3 : En cours de calcul

Existence d’un code d’exploitation

Aucun code d’exploitation n’est disponible publiquement

Composants vulnérables

FortiAnalyzer versions 6.2.5, 6.4.1 et antérieures
FortiTester versions 3.8.0, 3.7.0 et antérieures

CVE

CVE-2020-12815
CVE-2020-12817

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mettre à jour FortiAnalyzer vers les versions 6.2.6, 6.4.2 ou supérieures
Mettre à jour FortiTester vers la version 3.9.0 ou supérieure

Solution de contournement

Aucune solution de contournement

Liens

HTML Injection Vulnerability observed in FortiAnalyzer and FortiTester