Découverte de vulnérabilités dans les produits Fortinet
Date de publication :
Des vulnérabilités ont été découvertes dans FortiExtender et FortiClient pour Mac OS. Elles permettent à un administrateur non autorisé de provoquer une exécution de code arbitraire à distance et à un attaquant de provoquer une élévation de privilèges.
CVE-2019-15710[Score CVSSv3 7.2] : Un attaquant ayant accès à la console d’administration FortiExtenderCLI pourrait d'exécuter des commandes arbitraires en exploitant la commande "execute date".
CVE-2019-17650[Score CVSSv3 en cours de calcul] : Un mauvais nettoyage des caractères spéciaux utilisés dans l'un des processus de FortiClient pour Mac OS pourrait permettre à un utilisateur local du système d'exécuter du code arbitraire en tant que root en contournant le contrôle de sécurité.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
isques
- Exécution de code arbitraire à distance
- Élévation de privilèges
Criticité
- Score CVSS : 7.2
Existence d’un code d’exploitation de la vulnérabilité
- Aucun code d’exploitation n’est disponible.
Composants & versions vulnérables
- FortiExtender versions antérieures à 4.1.2
- FortiClient pour Mac OS versions antérieures à 6.2.2
CVE
- CVE-2019-17650
- CVE-2019-15710
Solutions ou recommandations
Mise en place de correctif de sécurité
- Mettre à jour les logiciels concernés
Solution de contournement
- Aucune solution n'a été proposée autre que la mise à jour.