Un avis de sécurité informatique a été publié concernant plusieurs produits Fortinet.
Avis de sécurité pour plusieurs produits Fortinet – Risque : moyen
Table of Contents
niveau de risque : 4 (moyen)
Score CVSS de base : 7,2
Score CVSS temporel : 6,3
Attaque à distance : Oui
Le Common Vulnerability Scoring System (CVSS) est utilisé pour évaluer la vulnérabilité des systèmes informatiques. Le standard CVSS permet de comparer les failles de sécurité potentielles ou réelles sur la base de différentes métriques, afin d’établir une liste de priorités pour le lancement de contre-mesures. Les attributs « aucun », « faible », « moyen », « élevé » et « critique » sont utilisés pour les degrés de gravité d’une vulnérabilité. Le score de base évalue les conditions préalables à une attaque (entre autres, l’authentification, la complexité, les privilèges, l’interaction de l’utilisateur) ainsi que ses conséquences. Le score temporel tient compte en outre des changements temporels concernant la situation de menace. La gravité de la vulnérabilité actuelle est classée comme « moyenne » selon le CVSS avec un score de base de 7,2.
Bug de plusieurs produits Fortinet : une vulnérabilité permet l’exécution de code
FortiOS est un système d’exploitation renforcé pour les plateformes FortiGate. FortiProxy est une solution de proxy web. FortiWeb est un pare-feu d’request web de Fortinet.
Un attaquant distant et authentifié peut exploiter une vulnérabilité dans Fortinet FortiOS, Fortinet FortiProxy et Fortinet FortiWeb pour exécuter du code arbitraire.
La vulnérabilité a été classée à l’aide du système de référence CVE (Common vulnerabilities and Exposures) par le numéro de série individuel CVE-2024-45324.
Aperçu des produits concernés par la faille de sécurité
Produits
Fortinet FortiProxy Fortinet FortiProxy 7.0.20 (cpe:/a:fortinet:fortiproxy)
Fortinet FortiProxy Fortinet FortiProxy 7.2.13 (cpe:/a:fortinet:fortiproxy)
Fortinet FortiOS Fortinet FortiOS 7.4.5 (cpe:/o:fortinet:fortios)
Fortinet fortiweb Fortinet FortiWeb 7.6.1 (cpe:/a:fortinet:fortiweb)
Fortinet FortiOS Fortinet FortiOS 7.2.10 (cpe:/o:fortinet:fortios)
fortinet FortiOS Fortinet FortiOS 7.0.16 (cpe:/o:fortinet:fortios)
Fortinet FortiWeb Fortinet FortiWeb 7.4.6 (cpe:/a:fortinet:fortiweb)
Fortinet FortiOS Fortinet FortiOS 6.4.16 (cpe:/o:fortinet:fortios)
Fortinet FortiProxy Fortinet FortiProxy 7.6.1 (cpe:/a:fortinet:fortiproxy)
Fortinet FortiProxy Fortinet FortiProxy 7.4.7 (cpe:/a:fortinet:fortiproxy)
Fortinet FortiWeb Fortinet FortiWeb 7.2.11 (cpe:/a:fortinet:fortiweb)
Fortinet FortiWeb Fortinet FortiWeb 7.0.11 (cpe:/a:fortinet:fortiweb)
Recommandations générales concernant la gestion des failles de sécurité informatique
- Les utilisateurs des systèmes concernés devraient les maintenir à jour. Les fabricants sont tenus, lorsqu’ils prennent connaissance de failles de sécurité, de les corriger le plus rapidement possible en développant un correctif ou une solution de contournement. si des correctifs de sécurité sont disponibles, installez-les rapidement.
- Consultez les sources énumérées dans la section suivante à des fins d’facts.Celles-ci contiennent souvent des informations complémentaires sur la version la plus récente du logiciel concerné ainsi que sur la disponibilité de correctifs de sécurité ou des indications sur des solutions de contournement.
- Adressez-vous à votre administrateur compétent si vous avez d’autres questions ou des incertitudes. Les responsables de la sécurité informatique devraient vérifier régulièrement les sources mentionnées afin de déterminer
Un avis de sécurité a été publié concernant plusieurs produits Fortinet, affectant FortiOS, FortiProxy et FortiWeb. Le niveau de risque est moyen (4), avec un score CVSS de base de 7.2 et un score temporel de 6.3. une attaque à distance est possible.Une vulnérabilité (CVE-2024-45324) permet l’exécution de code arbitraire par un attaquant distant et authentifié.
Les produits concernés incluent plusieurs versions de FortiOS, FortiProxy et FortiWeb (voir la liste détaillée dans le texte original).
Il est recommandé de mettre à jour les systèmes concernés avec les correctifs de sécurité disponibles dès que possible et de consulter les sources additionnelles pour plus d’informations. En cas de doute, contacter l’administrateur système compétent.