Fortinet corrige des vulnérabilités dans FortiCloud

Deux vulnérabilités ont été découvertes dans les versions de FortiCloud antérieures à la 3.2.1 :

  • FG-IR-18-074 : FortiCloud utilise une durée d'expiration du lien de réinitialisation du mot de passe d'une heure. Le lien n'est pas désactivé avant, même si l'utilisateur a réinitialisé son mot de passe avec succès. Un attaquant disposant de ce lien pourrait ainsi prendre le contrôle du compte de l'utilisateur.
  • FG-IR-18-026 : Certains paramètres de la page "/loginmgrlogin" du site forticloud.com sont vulnérables à une injection de code indirecte.
Informations
+

 Risques

  • Contournement d'authentification
  • Injection de code indirecte

Criticité

  • CVSS v3 : en cours d'analyse

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • FortiCloud versions antérieures à 3.2.1

CVE

  • Pas encore référencées

Recommandations
+

Correctifs

  • La vulnérabilité est corrigée par la version 3.3.0.

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.