Vulnérabilités dans Fortiweb et FortiExtender de Fortinet

Date de publication :

CVE-2021-41018CVE-2021-43073  [Score CVSS v3.1: 8.8]
Le contrôle des données entrées dans le système d’exploitation n’est pas réalisé de manière optimale. Il est possible d’utiliser des requêtes http malveillantes pour injecter du code. L’exploitation de cette vulnérabilité par un attaquant permet d’exécuter du code arbitraire.
 

CVE-2021-42753[Score CVSS v3.1: 8.1]
Une erreur dans l’interface de management du pare-feu FortiWeb a été découverte. La restriction d’accès vers un répertoire n’est pas appliquée correctement, il est possible d’effectuer une attaque par traversée de répertoire (Path Traversal). L’exploitation de cette vulnérabilité par un attaquant permet de supprimer des fichiers et des dossiers dans le produit.
 

CVE-2021-41016[Score CVSS v3.1: 7.8]
Certains caractères spéciaux dans les commandes de FortiExtender ne sont pas contrôlés correctement. Il est possible d’utiliser de manière malveillante des caractères spéciaux dans l’interface de ligne commande. L’exploitation de cette vulnérabilité par un attaquant permet d’exécuter du code arbitraire avec les privilèges supérieurs.

FortiExtender est un équipement qui permet de fournir une connexion internet.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Élévation de privilège
  • Exécution de code arbitraire
  • Injection de commande

Criticité

  • Score CVSS v3.1: 8.8 max

La faille est activement exploitée

  • Non, pour l’ensemble des CVE présentés

Un correctif existe

  • Oui, pour l’ensemble des CVE présentés

Une mesure de contournement existe

  • Non, pour l’ensemble des CVE présentés

Les vulnérabilités exploitées sont du type    

Pour la CVE-2021-41018

Pour la CVE-2021-43073

Pour la CVE-2021-42753

Pour la CVE-2021-41016

Détails sur l’exploitation

Pour la CVE-2021-41018CVE-2021-43073CVE-2021-42753

  • Vecteur d’attaque : Réseau
  • Complexité de l’attaque : Faible
  • Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Non

Pour la CVE-2021-41016

  • Vecteur d’attaque : Réseau
  • Complexité de l’attaque : Faible
  • Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple
  • Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non
  • L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui

Composants vulnérables.

Pour la CVE-2021-41018

  • FortiWeb Version 6.4.1 et les versions antérieures
  • FortiWeb Version 6.3.15 et les versions antérieures
  • FortiWeb Version 6.2.6 et les versions antérieures

Pour la CVE-2021-43073

  • FortiWeb Version 6.4.1 et les versions antérieures
  • FortiWeb Version 6.3.16 et les versions antérieures
  • FortiWeb Version 6.2.6 et les versions antérieures

Pour la CVE-2021-42753

  • FortiWeb Version 6.4.1 et les versions antérieures
  • FortiWeb Version 6.3.15 et les versions antérieures
  • FortiWeb Version 6.2.x, 6.1.x, 6.0.x, 5.9.x, et 5.8.x.

Pour la CVE-2021-41016

  • FortiExtender Version 7.0.1 et les versions antérieures
  • FortiExtender Version 4.2.3 et les versions antérieures
  • FortiExtender Version 4.1.7 et les versions antérieures

Solutions ou recommandations

Pour la CVE-2021-41018

  • Appliquer la mise à jour FortiWeb vers la version 7.0.0 ou toutes autres versions ultérieures.
  • Appliquer la mise à jour FortiWeb vers la version 6.4.2 ou toutes autres versions ultérieures.
  • Appliquer la mise à jour FortiWeb vers la version 6.3.16 ou toutes autres versions ultérieures.
  • Appliquer la mise à jour FortiWeb vers la version 6.2.7 ou toutes autres versions ultérieures.

Pour la CVE-2021-43073

  • Appliquer la mise à jour FortiWeb vers la version 7.0.0 ou toutes autres versions ultérieures.
  • Appliquer la mise à jour FortiWeb vers la version 6.4.2 ou toutes autres versions ultérieures.
  • Appliquer la mise à jour FortiWeb vers la version 6.3.17 ou toutes autres versions ultérieures.
  • Appliquer la mise à jour FortiWeb vers la version 6.2.7 ou toutes autres versions ultérieures.

Pour la CVE-2021-42753

  • Appliquer la mise à jour FortiWeb vers la version 6.4.2 ou toutes autres versions ultérieures.
  • Appliquer la mise à jour FortiWeb vers la version 6.3.16 ou toutes autres versions ultérieures.

Pour la CVE-2021-41016

  • Appliquer la mise à jour FortiWeb vers la version 7.0.2 ou toutes autres versions ultérieures.
  • Appliquer la mise à jour FortiWeb vers la version 4.2.4 ou toutes autres versions ultérieures.
  • Appliquer la mise à jour FortiWeb vers la version 4.1.8 ou toutes autres versions ultérieures.

Liens