CERTFR-2025-AVI-0197_Multiples vulnérabilités dans les produits Fortinet
AVIS CERT
CERT-FR
Publié le 12 mars 2025 à 14h52
Objet
Multiples vulnérabilités dans les produits Fortinet
Référence
CERTFR-2025-AVI-0197
Risques
- Injection de code indirecte à distance (XSS)
- Injection de requêtes illégitimes par rebond (CSRF)
- Exécution de code arbitraire à distance
- Atteinte à l'intégrité des données
- Non spécifié par l'éditeur
- Contournement de la politique de sécurité
- Atteinte à la confidentialité des données
- Élévation de privilèges
Systèmes affectés
- FortiMail versions antérieures à 7.4.4
- FortiNDR versions 7.1.x antérieures à 7.1.2
- FortiOS versions 7.4.x antérieures à 7.4.5
- FortiADC versions antérieures à 7.1.4
- FortiAnalyzer versions antérieures à 7.2.6
- FortiAnalyzer-BigData versions antérieures à 7.2.8
- FortiManager versions antérieures à 7.2.6
- FortiManager versions 7.4.x antérieures à 7.4.4
- FortiProxy versions 7.0.x antérieures à 7.0.20
- FortiSRA versions 1.4.x antérieures à 1.4.3
- FortiSIEM versions antérieures à 7.3
- FortiOS versions 7.2.x antérieures à 7.2.10
- FortiPAM versions antérieures à 1.3.2
- FortiProxy versions 7.2.x antérieures à 7.2.13
- FortiProxy versions 7.4.x antérieures à 7.4.7
- FortiPAM versions 1.4.x antérieures à 1.4.3
- FortiNDR versions 7.4.x antérieures à 7.4.1
- FortiAnalyzer versions 7.4.x antérieures à 7.4.4
- FortiMail versions 7.6.x antérieures à 7.6.2
- FortiProxy versions 7.6.x antérieures à 7.6.1
- FortiAnalyzer-BigData versions 7.4.x antérieures à 7.4.2
- FortiOS versions 7.0.x antérieures à 7.0.16
- FortiNDR versions antérieures à 7.0.6
- FortiNDR versions 7.2.x antérieures à 7.2.2
- FortiWeb versions antérieures à 7.6.1
- FortiOS versions antérieures à 6.4.16
- FortiADC versions 7.2.x antérieures à 7.2.2
- FortiIsolator versions 2.4.x antérieures à 2.4.6
- FortiSandbox versions 5.0.x antérieures à 5.0.1
- FortiADC versions 7.4.x antérieures à 7.4.1
- FortiSandbox versions antérieures à 4.4.7
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Fortinet. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une élévation de privilèges et une atteinte à la confidentialité des données.
Documentation
- Bulletin de sécurité Fortinet FG-IR-24-261
- Bulletin de sécurité Fortinet FG-IR-24-130
- Bulletin de sécurité Fortinet FG-IR-24-439
- Bulletin de sécurité Fortinet FG-IR-24-327
- Bulletin de sécurité Fortinet FG-IR-24-124
- Bulletin de sécurité Fortinet FG-IR-24-306
- Bulletin de sécurité Fortinet FG-IR-23-216
- Bulletin de sécurité Fortinet FG-IR-24-110
- Bulletin de sécurité Fortinet FG-IR-23-117
- Bulletin de sécurité Fortinet FG-IR-24-377
- Bulletin de sécurité Fortinet FG-IR-24-353
- Bulletin de sécurité Fortinet FG-IR-24-305
- Bulletin de sécurité Fortinet FG-IR-24-178
- Bulletin de sécurité Fortinet FG-IR-23-115
- Bulletin de sécurité Fortinet FG-IR-24-325
- Bulletin de sécurité Fortinet FG-IR-24-331
- Bulletin de sécurité Fortinet FG-IR-23-353
- CVE-2024-54026
- CVE-2024-45328
- CVE-2024-46663
- CVE-2024-54018
- CVE-2024-54027
- CVE-2023-42784
- CVE-2023-48790
- CVE-2024-32123
- CVE-2024-55590
- CVE-2024-52960
- CVE-2023-40723
- CVE-2023-37933
- CVE-2024-55597
- CVE-2024-55592
- CVE-2024-33501
- CVE-2024-52961
- CVE-2024-45324
- CVE-2024-55594