Découverte de vulnérabilités dans les produits Fortinet

Des vulnérabilités ont été découvertes dans FortiExtender et FortiClient pour Mac OS. Elles permettent à un administrateur non autorisé de provoquer une exécution de code arbitraire à distance et à un attaquant de provoquer une élévation de privilèges.

CVE-2019-15710 [Score CVSSv3 7.2] : Un attaquant ayant accès à la console d’administration FortiExtenderCLI pourrait d'exécuter des commandes arbitraires en exploitant la commande "execute date".

CVE-2019-17650 [Score CVSSv3 en cours de calcul] : Un mauvais nettoyage des caractères spéciaux utilisés dans l'un des processus de FortiClient pour Mac OS pourrait permettre à un utilisateur local du système d'exécuter du code arbitraire en tant que root en contournant le contrôle de sécurité.

Informations
+

isques

  • Exécution de code arbitraire à distance
  • Élévation de privilèges

Criticité

  • Score CVSS : 7.2

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d’exploitation n’est disponible.

Composants & versions vulnérables

  • FortiExtender versions antérieures à 4.1.2
  • FortiClient pour Mac OS versions antérieures à 6.2.2

CVE

  • CVE-2019-17650
  • CVE-2019-15710

Recommandations
+

Mise en place de correctif de sécurité

  • Mettre à jour les logiciels concernés

Solution de contournement

  • Aucune solution n'a été proposée autre que la mise à jour.