Synthèse
De nouvelles vulnérabilités ont été découvertes dans divers produits, dont 14 de gravité « élevée » et 2 de gravité « critique ». Ces vulnérabilités pourraient permettre de contourner les mécanismes de sécurité, d’exécuter des commandes arbitraires ou d’élever les privilèges des utilisateurs sur les systèmes affectés.
Risque
Impact estimé de la vulnérabilité sur la communauté de référence : Élevé (66,15)
Typologie
- Arbitrary Code Execution
- Denial of Service
- Privilege Escalation
- Security Restrictions Bypass
Produits et versions concernés
- FortiSOAR 7.4.x, de la version 7.4.0 à la version 7.4.1
- FortiSOAR 7.3.x, de la version 7.3.0 à la version 7.3.2
- FortiSOAR 7.2.x, de la version 7.2.1 à la version 7.2.2
- FortiSwitch 7.4.0
- FortiSwitch 7.2.x, de la version 7.2.0 à la version 7.2.5
- FortiSwitch 7.0.x, de la version 7.0.0 à la version 7.0.7
- FortiSwitch 6.4.x, de la version 6.4.0 à la version 6.4.13
- FortiSwitch 6.2.x, de la version 6.2.0 à la version 6.2.7
- FortiSwitch 6.0.x, de la version 6.0.0 à la version 6.0.7
- FortiClientEMS 7.2.x, de la version 7.2.0 à la version 7.2.3
- FortiClientEMS 7.0.x, de la version 7.0.0 à la version 7.0.10
- FortiClientEMS 6.4.x
- FortiClientEMS 6.2.x
- FortiManager 7.4.x, de la version 7.4.1 à la version 7.4.3
- FortiManager 7.4.0
- FortiManager 7.2.x, de la version 7.2.0 à la version 7.2.5
- FortiManager 7.0.x, de la version 7.0.2 à la version 7.0.12
- FortiManager 6.2.x, de la version 6.2.10 à la version 6.2.13
- FortiManager Cloud 7.4.x, de la version 7.4.1 à la version 7.4.3
- FortiVoice 7.0.x, de la version 7.0.0 à la version 7.0.1
- FortiVoice 6.4.x, de la version 6.4.0 à la version 6.4.8
- FortiVoice 6.0.x
- FortiAnalyzer 7.4.x, de la version 7.4.0 à la version 7.4.3
- FortiAnalyzer 7.2.x, de la version 7.2.0 à la version 7.2.5
- FortiAnalyzer 7.0.x, de la version 7.0.2 à la version 7.0.12
- FortiAnalyzer 6.2.x, de la version 6.2.10 à la version 6.2.13
- FortiOS 7.4.x, de la version 7.4.0 à la version 7.4.4
- FortiOS 7.2.x, de la version 7.2.0 à la version 7.2.9
- FortiOS 7.0.x, de la version 7.0.0 à la version 7.0.15
- FortiOS 6.4.x
- FortiSandbox 4.4.x, de la version 4.4.0 à la version 4.4.4
- FortiSandbox 4.2.x, de la version 4.2.0 à la version 4.2.6
- FortiSandbox 4.0.x, de la version 4.0.0 à la version 4.0.4
- FortiSandbox 3.2.x
- FortiSandbox 3.1.x
- FortiSandbox 3.0.x, de la version 3.0.5 à la version 3.0.7
- FortiProxy 7.4.x, de la version 7.4.0 à la version 7.4.4
- FortiProxy 7.2.x, de la version 7.2.0 à la version 7.2.11
- FortiProxy 7.0.x, de la version 7.0.0 à la version 7.0.18
- FortiProxy 2.0.x
- FortiProxy 1.2.x
- FortiProxy 1.1.x
- FortiProxy 1.0.x
- FortiRecorder 7.2.x, de la version 7.2.0 à la version 7.2.1
- FortiRecorder 7.0.x, de la version 7.0.0 à la version 7.0.4
- FortiWeb 7.4.x, de la version 7.4.0 à la version 7.4.4
- FortiWeb 7.2.x
- FortiWeb 7.0.x
- FortiWeb 6.4.x
Mesures d’atténuation
Conformément aux déclarations des fournisseurs, il est recommandé d’appliquer des mesures d’atténuation en suivant les conseils des bulletins de sécurité disponibles dans la section Références.
Voici uniquement les CVE pour les vulnérabilités de gravité « critique » et « élevée » :
Références
https://fortiguard.fortinet.com/psirt/FG-IR-24-210
https://fortiguard.fortinet.com/psirt/FG-IR-23-260
https://fortiguard.fortinet.com/psirt/FG-IR-23-476
https://fortiguard.fortinet.com/psirt/FG-IR-24-222
https://fortiguard.fortinet.com/psirt/FG-IR-23-220
https://fortiguard.fortinet.com/psirt/FG-IR-24-152
https://fortiguard.fortinet.com/psirt/FG-IR-24-239
https://www.fortiguard.com/psirt/FG-IR-24-135
https://www.fortiguard.com/psirt/FG-IR-24-219
https://www.fortiguard.com/psirt/FG-IR-24-463
https://www.fortiguard.com/psirt/FG-IR-24-061
https://www.fortiguard.com/psirt/FG-IR-24-266
https://www.fortiguard.com/psirt/FG-IR-24-106
https://www.fortiguard.com/psirt/FG-IR-24-259
https://www.fortiguard.com/psirt/FG-IR-23-258
https://www.fortiguard.com/psirt/FG-IR-24-221
1Cette estimation est réalisée en prenant en compte plusieurs paramètres, notamment : CVSS, disponibilité des patch/workaround et PoC, diffusion des logiciels/appareils affectés dans la communauté de référence.
