Fortinet a publié de nouveaux avis de sécurité sur les vulnérabilités de FortiOS et FortiSandbox. Les valeurs CVSS sont comprises entre 7.3 et 7.9 et sont donc considérées comme très dangereuses. Les responsables de la sécurité informatique doivent effectuer les mises à jour immédiatement.
Les vulnérabilités très dangereuses et les conséquences possibles sont décrites en détail dans les avis de sécurité de Fortinet.
FortiOS – Autorisation illégale via le profil Prof Admin (CVSSv3 7.4)
Problème: Une vulnérabilité d'autorisation inappropriée [CWE-285] dans le composant WEB-UI de FortiOS pourrait permettre à un attaquant authentifié avec le profil prof-admin d'effectuer des actions élevées.
solution: FortiOS 7.4 n'est pas affecté, la mise à niveau de FortiOS 7.2 7.2.0 vers 7.2.4 doit être mise à jour vers 7.2.5 ou supérieur, FortiOS 7.0 7.0.0 vers 7.0.11 doit être mis à niveau vers 7.0.12 ou supérieur.
FortiSandbox - Reflected Cross Site Scripting (XSS) sur le point de terminaison de rendu File OnDemand (CVSSv3 7.3)
Problème: Une vulnérabilité de neutralisation inappropriée des entrées lors de la génération de pages Web (« cross-site scripting ») [CWE-79] dans FortiSandbox pourrait permettre à un attaquant authentifié de mener une attaque de cross-site scripting via des requêtes HTTP contrefaites.
solution: FortiSandbox 2.4.1 vers 3.2 doit être migré vers une version fixe. Fortinet 4.0.0 vers 4.0.3 nécessite une mise à niveau vers 4.0.4. Fortinet 4.2.0 à 4.2.5 et 4.4.0 à 4.4.1 nécessitent une mise à niveau vers 4.4.2 ou version ultérieure.
FortiSandbox – Suppression arbitraire de fichiers (CVSSv3 7.9)
Problème: Une restriction inappropriée d'un nom de chemin vers une vulnérabilité de répertoire restreint (« Path Traversal ») [CWE-22] dans FortiSandbox pourrait permettre à un attaquant disposant de faibles privilèges de supprimer des fichiers arbitraires via des requêtes http contrefaites. Toutes les versions de sont concernées FortiSandbox 2.4 à 3.2, versions 4.0.0 à 4.0.3, versions 4.2.0 à 4.2.5 et version 4.4.0
solution: Les versions sécurisées sont FortiSandbox 4.0.4, 4.2.6 et 4.4.2 ou ultérieures. Les mises à jour sont disponibles en téléchargement.
FortiSandbox – XSS lors de la suppression du point de terminaison (CVSSv3 7.3)
Problème: La vulnérabilité [CWE-79] dans FortiSandbox, qui neutralise plusieurs entrées inappropriées lors de la génération de sites Web (« cross-site scripting »), pourrait permettre à un attaquant authentifié de mener une attaque de cross-site scripting via des requêtes HTTP contrefaites.
solution: FortiSandbox 2.4.1 vers 3.2 doit être migré vers une version fixe. Fortinet 4.0.0 vers 4.0.3 nécessite une mise à niveau vers 4.0.4. Fortinet 4.2.0 à 4.2.5 et 4.4.0 à 4.4.1 nécessitent une mise à niveau vers 4.4.2 ou version ultérieure.
D'autres avis de sécurité, descriptions et mises à jour correspondantes sont disponibles sur Fortinet.
Plus sur Sophos.com
À propos de Fortinet Fortinet (NASDAQ : FTNT) protège les actifs les plus précieux de certaines des plus grandes entreprises, fournisseurs de services et agences gouvernementales du monde. Nous offrons à nos clients une visibilité et un contrôle complets sur la surface d'attaque en expansion et la capacité de répondre aux exigences de performances toujours croissantes aujourd'hui et dans le futur. Seule la plate-forme Fortinet Security Fabric peut relever les défis de sécurité les plus critiques et protéger les données sur l'ensemble de l'infrastructure numérique, que ce soit dans des environnements de réseau, d'application, multi-cloud ou de périphérie. Fortinet est n°1 pour la plupart des appliances de sécurité livrées. Plus de 455.000 XNUMX clients font confiance à Fortinet pour protéger leur marque. À la fois entreprise technologique et entreprise de formation, l'institut Fortinet Network Security Expert (NSE) propose l'un des programmes de formation en cybersécurité les plus vastes et les plus complets du secteur. Pour plus d'informations, visitez www.fortinet.de, le blog Fortinet ou FortiGuard Labs.