De multiples vulnérabilités importantes ont été découvertes dans plusieurs produits Fortinet. Certaines d'entre elles permettent à un attaquant de provoquer un déni de service à distance, un contournement de la politique de sécurité, une élévation de privilèges et une injection de code XSS.

Parmi les vulnérabilités trouvées :

• CVE-2020-15935 : Un stockage en texte clair d'informations sensibles dans l'interface graphique de FortiADC versions 5.4.3 et inférieures et 6.0.0 et inférieures peut permettre à un attaquant authentifié à distance de récupérer certaines informations sensibles telles que les mots de passe LDAP des utilisateurs et le secret partagé RADIUS en désactivant les champs de saisie des mots de passe.
• CVE-2020-12814 : Une vulnérabilité XSS dans Fortinet FortiAnalyzer version 6.0.6 et inférieure et version 6.4.4 permet à un attaquant d'exécuter du code ou des commandes non autorisées via des requêtes spécifiquement conçues vers l'interface graphique Web.
• CVE-2021-42754 : Un contrôle incorrect dans FortiClientMacOS versions 7.0.0 et inférieures et 6.4.5 et inférieures peut permettre à un attaquant authentifié de détourner la caméra MacOS sans l'autorisation de l'utilisateur via le fichier dylib malveillant.
• CVE-2021-36183 : Une vulnérabilité d'autorisation incorrecte dans FortiClient pour Windows versions 7.0.1 et inférieures et 6.4.2 et inférieures peut permettre à un attaquant local non privilégié d'élever ses privilèges à SYSTEM via le pipe responsable des mises à jour de Forticlient.

Les autres failles, leurs descriptions et les versions des produits concernées sont listées dans le bulletin de sécurité de Fortinet. Nous vous invitons à les consulter et à appliquer les correctifs si vous utilisez des versions vulnérables.