Fortinet corrige plusieurs failles dans ses produits

Fortinet a corrigé plusieurs failles présentes dans ses produits FortiOS, FortiAnalyzer et FortiManager. Une exploitation réussie de ces vulnérabilités pourrait permettre à un attaquant de réaliser des attaques par injection de code indirect (XSS), d'accéder à des données confidentielles ou de contourner la politique de sécurité des produits.

Parmi les vulnérabilités corrigées, on retrouve :

CVE-2018-1351 : vulnérabilité d'injection de code indirect dans FortiManager due à un mauvais filtrage en sortie des données affichées.

CVE-2018-1354 : vulnérabilité due à un manque de contrôle d'accès dans FortiAnalyzer et FortiManager, dont l'exploitation permettrait d'ajouter aux avatars d'autres utilisateurs (même s'ils disposent de privilèges plus élevés) du contenu arbitraire (comme du code malveillant). Cependant, les mesures de sécurité implémentées par les navigateurs récents limitent cette attaque.

CVE-2018-1355 : vulnérabilité de redirection ouverte due à une validation incorrecte des entrées dans FortiAnalyzer et FortiManager dont l’exploitation pourrait permettre de générer un fichier PDF contenant des URL malveillantes.

Informations
+

Impact

  • Confidentialité
  • Exécution de code arbitraire

Criticité

  • CVSS v3 : Les scores CVSS n'ont pas encore été définis. 

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • FortiOS  versions 6.0.0 et antérieures;
  • FortiAnalyzer versions 6.0.0 et antérieures;
  • FortiManager versions 6.0.0 et antérieures.

CVE

  • CVE-2018-9185
  • CVE-2018-1351
  • CVE-2018-1354
  • CVE-2018-1355

Recommandations
+

Correctifs

  • Un patch de sécurité a été publié par Fortinet corrigeant la vulnérabilité.
  • La vulnérabilité est corrigée dans FortiOS, FortiAnalyzer et FortiManager à partir de la version 6.0.1.

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.