CERTFR-2026-AVI-0035_Multiples vulnérabilités dans les produits Fortinet

AVIS CERT

CERT-FR

Publié le 14 janvier 2026 à 16h25

Objet

Multiples vulnérabilités dans les produits Fortinet

Référence

CERTFR-2026-AVI-0035

Risques

Atteinte à la confidentialité des données
Contournement de la politique de sécurité
Exécution de code arbitraire à distance
Falsification de requêtes côté serveur (SSRF)
Injection SQL (SQLi)

Systèmes affectés

FortiClientEMS toutes versions 7.0.x
FortiClientEMS versions 7.2.x antérieures à 7.2.12
FortiClientEMS versions 7.4.x antérieures à 7.4.5
FortiFone versions 3.0.x antérieures à 3.0.24
FortiFone versions 7.0.x antérieures à 7.0.2
FortiOS versions 6.4.x antérieures à 6.4.17
FortiOS versions 7.0.x antérieures à 7.0.18
FortiOS versions 7.2.x antérieures à 7.2.12
FortiOS versions 7.4.x antérieures à 7.4.9
FortiOS versions 7.6.x antérieures à 7.6.4
FortiSandbox toutes versions 4.0.x
FortiSandbox toutes versions 4.2.x
FortiSandbox toutes versions 4.4.x
FortiSandbox versions antérieures à 5.0.5
FortiSASE versions 25.x antérieures à 25.2.c
FortiSIEM toutes versions 6.7.x
FortiSIEM toutes versions 7.0.x
FortiSIEM versions 7.1.x antérieures à 7.1.9
FortiSIEM versions 7.2.x antérieures à 7.2.7
FortiSIEM versions 7.3.x antérieures à 7.3.5
FortiSIEM versions 7.4.x antérieures à 7.4.1
FortiSwitchManager versions 7.0.x antérieures à 7.0.6
FortiSwitchManager versions 7.2.x antérieures à 7.2.7
FortiVoice versions 7.0.x antérieures à 7.0.8
FortiVoice versions 7.2.x antérieures à 7.2.3

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Fortinet. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une atteinte à la confidentialité des données et une injection SQL (SQLi).

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2026-AVI-0035/