Une vulnérabilité de type injection XSS a été identifiée sur Fortinet FortiWeb

Fortinet a signalé une vulnérabilité sur son pare-feu d’applications web Fortiweb servant à protéger les applications web des attaques et des vulnérabilités connues en utilisant des méthodes de détection avancées. 

Cette vulnérabilité de criticité moyenne a été découverte sur la page WebUI Certificate View de FortiWeb. Elle permet à un attaquant de provoquer une injection de code indirecte à distance (XSS : Cross-Site-Scripting) via l'importation de certificats malveillants.

La CVE CVE-2017-7736 a été réservée par Fortinet qui fournira prochainement plus de détails techniques concernant cette vulnérabilité.

Informations
+

Impact

  • Injection de code à distance (Cross Site Scripting)

Criticité

  • Moyenne

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • FortiWeb version 5.8.0
  • FortiWeb versions 5.7.1 et antérieures

CVE

  • CVE-2017-7736

Recommandations
+

Correctifs

  • Il est recommandé d'appliquer la mise à jour vers les versions 5.8.1, 5.7.2 de FortiWeb ou vers une version ultérieure.

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.