CERTFR-2025-AVI-1084_Multiples vulnérabilités dans les produits Fortinet

Multiples vulnérabilités dans les produits Fortinet

CERTFR-2025-AVI-1084

• Atteinte à l'intégrité des données
• Atteinte à la confidentialité des données
• Contournement de la politique de sécurité
• Déni de service à distance
• Exécution de code arbitraire à distance
• Injection de code indirecte à distance (XSS)
• Injection SQL (SQLi)
• Élévation de privilèges

• FortiAnalyzer versions 7.2.x antérieures à 7.2.6
• FortiAnalyzer versions 7.4.x antérieures à 7.4.3
• FortiAuthenticator versions antérieures à 6.6.7
• FortiExtender versions 7.6.x antérieures à 7.6.4
• FortiExtender versions antérieures à 7.4.8
• FortiManager versions 7.4.x antérieures à 7.4.3
• FortiManager versions antérieures à 7.2.6
• FortiOS versions 7.2.x antérieures à 7.2.12
• FortiOS versions 7.4.x antérieures à 7.4.9
• FortiOS versions 7.6.x antérieures à 7.6.4
• FortiOS versions antérieures à 7.0.18
• FortiPAM versions antérieures à 1.5.x
• FortiPortal versions antérieures à 7.4.6
• FortiProxy versions 7.0.x antérieures à 7.0.22
• FortiProxy versions 7.2.x antérieures à 7.2.15
• FortiProxy versions 7.4.x antérieures à 7.4.11
• FortiProxy versions 7.6.x antérieures à 7.6.4
• FortiSandbox Cloud versions antérieures à 24.2
• FortiSandbox versions 4.x antérieures à 4.4.8
• FortiSandbox versions 5.0.x antérieures à 5.0.3
• FortiSASE versions 24.1.x antérieures à 24.1.c
• FortiSOAR on-premise versions 7.6.x antérieures à 7.6.3
• FortiSOAR on-premise versions antérieures à 7.5.2
• FortiSOAR PaaS versions 7.6.x antérieures à 7.6.3
• FortiSOAR PaaS versions antérieures à 7.5.2
• FortiSRA versions antérieures à 1.5.x
• FortiSwitchManager versions 7.0.x antérieures à 7.0.6
• FortiSwitchManager versions 7.2.x antérieures à 7.2.7
• FortiVoice versions 7.2.x antérieures à 7.2.3
• FortiVoice versions antérieures à 7.0.8
• FortiWeb versions 7.0.x antérieures à 7.0.12
• FortiWeb versions 7.2.x antérieures à 7.2.12
• FortiWeb versions 7.4.x antérieures à 7.4.11
• FortiWeb versions 7.6.x antérieures à 7.6.6
• FortiWeb versions 8.0.x antérieures à 8.0.2

L'éditeur précise que la version 24.2 de FortiSandbox Cloud sera publiée ultérieurement.

De multiples vulnérabilités ont été découvertes dans les produits Fortinet. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une élévation de privilèges et un déni de service à distance.

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

• Bulletin de sécurité Fortinet FG-IR-24-133 du 09 décembre 2025
• Bulletin de sécurité Fortinet FG-IR-24-268 du 09 décembre 2025
• Bulletin de sécurité Fortinet FG-IR-25-032 du 09 décembre 2025
• Bulletin de sécurité Fortinet FG-IR-25-362 du 09 décembre 2025
• Bulletin de sécurité Fortinet FG-IR-25-411 du 09 décembre 2025
• Bulletin de sécurité Fortinet FG-IR-25-454 du 09 décembre 2025
• Bulletin de sécurité Fortinet FG-IR-25-477 du 09 décembre 2025
• Bulletin de sécurité Fortinet FG-IR-25-479 du 09 décembre 2025
• Bulletin de sécurité Fortinet FG-IR-25-554 du 09 décembre 2025
• Bulletin de sécurité Fortinet FG-IR-25-599 du 09 décembre 2025
• Bulletin de sécurité Fortinet FG-IR-25-601 du 09 décembre 2025
• Bulletin de sécurité Fortinet FG-IR-25-616 du 09 décembre 2025
• Bulletin de sécurité Fortinet FG-IR-25-647 du 09 décembre 2025
• Bulletin de sécurité Fortinet FG-IR-25-739 du 09 décembre 2025
• Bulletin de sécurité Fortinet FG-IR-25-812 du 09 décembre 2025
• Bulletin de sécurité Fortinet FG-IR-25-945 du 09 décembre 2025
• Bulletin de sécurité Fortinet FG-IR-25-984 du 09 décembre 2025
• CVE-2024-40593
• CVE-2024-47570
• CVE-2025-53679
• CVE-2025-53949
• CVE-2025-54353
• CVE-2025-54838
• CVE-2025-57823
• CVE-2025-59718
• CVE-2025-59719
• CVE-2025-59808
• CVE-2025-59810
• CVE-2025-59923
• CVE-2025-60024
• CVE-2025-62631
• CVE-2025-64153
• CVE-2025-64156
• CVE-2025-64447
• CVE-2025-64471

https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1084/