Deux vulnérabilités ont été découvertes dans les versions de FortiCloud antérieures à la 3.2.1 :
- FG-IR-18-074 : FortiCloud utilise une durée d'expiration du lien de réinitialisation du mot de passe d'une heure. Le lien n'est pas désactivé avant, même si l'utilisateur a réinitialisé son mot de passe avec succès. Un attaquant disposant de ce lien pourrait ainsi prendre le contrôle du compte de l'utilisateur.
- FG-IR-18-026 : Certains paramètres de la page "/loginmgrlogin" du site forticloud.com sont vulnérables à une injection de code indirecte.
Informations
+
Risques
- Contournement d'authentification
- Injection de code indirecte
Criticité
- CVSS v3 : en cours d'analyse
Existence d’un code d’exploitation de la vulnérabilité
- Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.
Composants & versions vulnérables
- FortiCloud versions antérieures à 3.2.1
CVE
- Pas encore référencées
Recommandations
+
Correctifs
- La vulnérabilité est corrigée par la version 3.3.0.
Solution de contournement
- Il n’existe pas actuellement de solution de contournement.