Vulnérabilités dans Fortinet et FortiAP
Date de publication :
CVE-2021-24007 [Score CVSS v3 : 9.8]
Une vulnérabilité a été corrigée au sein de FortiMail. Son exploitation peut permettre à un attaquant distant et non authentifié d’exécuter du code ou des commandes arbitraires sur le logiciel.
CVE-2021-22129 [Score CVSS v3 : 8.8]
Une vulnérabilité a été corrigée au sein de FortiMail. Son exploitation peut permettre à un attaquant distant et authentifié d’exécuter du code ou des commandes arbitraires sur le logiciel.
CVE-2021-24013 [Score CVSS v3 : 6.5]
Une vulnérabilité a été corrigée au sein de FortiMail. Son exploitation peut permettre à un attaquant distant et authentifié d’accéder à des dossiers nécessitant des privilèges.
CVE-2021-24015 [Score CVSS v3 : 8.8]
Une vulnérabilité a été corrigée au sein de FortiMail. Son exploitation peut permettre à un attaquant distant et authentifié en tant qu’administrateur d’exécuter du code ou des commandes arbitraires sur le logiciel.
FortiAP, FortiAP-S, FortiAP-W2 :
CVE-2021-26106 [Score CVSS v3 : 7.8]
Une vulnérabilité a été corrigée au sein des dispositifs FortiAP, FortiAP-S et FortiAP-W2 . Son exploitation peut permettre à un attaquant distant et non authentifié d’exécuter du code ou des commandes arbitraires sur le logiciel.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
- Expositions d’informations sensibles
Criticité
- Scores CVSS v3 : 9.8 max
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à l’heure actuelle.
Composants vulnérables
- FortiMail versions 5.x.x ;
- FortiMail versions 6.x.x jusqu’à 6.2.7 ;
- FortiMail versions 6.3.x jusqu’à 6.4.5 ;
- FortiAP versions 6.x.x jusqu’à 6.0.6 et 6.4.3 jusqu’à 6.4.5 ;
- FortiAP-S versions 6.x.x jusqu’à 6.0.6 et 6.4.3 jusqu’à 6.4.5 ;
- FortiAP-W2 versions 6.x.x jusqu’à 6.0.6 et 6.4.3 jusqu’à 6.4.5.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour FortiMail vers une des versions suivantes :
- 7.0.0;
- 6.4.5;
- 6.2.7.
Mettre à jour FortiAP, FortiAP-S et Forti AP-W2 vers la version 6.4.5 ou ultérieures
Solution de contournement
- Aucune solution de contournement n’est disponible publiquement à l’heure actuelle.
Liens
- Fortinet - Documentation FortiMail
- Fortinet - Documentation FortiAP
- Fortiguard - (CVE-2021-24007) FG-IR-21-012
- Fortiguard - (CVE-2021-22129) FG-IR-21-023
- Fortiguard - (CVE-2021-26106) FG-IR-21-210
- Fortiguard - (CVE-2021-24013) FG-IR-21-014
- Fortiguard - (CVE-2021-24015) FG-IR-21-021
- NVD CVE-2021-24007
- NVD CVE-2021-22129
- NVD CVE-2021-24013
- NVD CVE-2021-24015
- NVD CVE-2021-26106