S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 15 mai 2024
N° CERTFR-2024-AVI-0404
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Fortinet

Gestion du document

Référence CERTFR-2024-AVI-0404
Titre Multiples vulnérabilités dans les produits Fortinet
Date de la première version15 mai 2024
Date de la dernière version15 mai 2024
Source(s) Bulletin de sécurité Fortinet FG-IR-23-137 du 14 mai 2024
Bulletin de sécurité Fortinet FG-IR-23-191 du 14 mai 2024
Bulletin de sécurité Fortinet FG-IR-23-195 du 14 mai 2024
Bulletin de sécurité Fortinet FG-IR-23-222 du 14 mai 2024
Bulletin de sécurité Fortinet FG-IR-23-225 du 14 mai 2024
Bulletin de sécurité Fortinet FG-IR-23-282 du 14 mai 2024
Bulletin de sécurité Fortinet FG-IR-23-406 du 14 mai 2024
Bulletin de sécurité Fortinet FG-IR-23-415 du 14 mai 2024
Bulletin de sécurité Fortinet FG-IR-23-420 du 14 mai 2024
Bulletin de sécurité Fortinet FG-IR-23-433 du 14 mai 2024
Bulletin de sécurité Fortinet FG-IR-23-465 du 14 mai 2024
Bulletin de sécurité Fortinet FG-IR-23-474 du 14 mai 2024
Bulletin de sécurité Fortinet FG-IR-24-017 du 14 mai 2024
Bulletin de sécurité Fortinet FG-IR-24-021 du 14 mai 2024
Bulletin de sécurité Fortinet FG-IR-24-040 du 14 mai 2024
Bulletin de sécurité Fortinet FG-IR-24-052 du 14 mai 2024
Bulletin de sécurité Fortinet FG-IR-24-054 du 14 mai 2024
Bulletin de sécurité Fortinet FG-IR-24-120 du 14 mai 2024
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Déni de service à distance
  • Exécution de code arbitraire à distance
  • Injection de code indirecte à distance (XSS)

Systèmes affectés

  • FortiADC 6.2.x toutes versions
  • FortiADC 7.0.x toutes versions
  • FortiADC 7.1.x toutes versions
  • FortiADC 7.2.x versions antérieures à 7.2.4
  • FortiADC 7.4.x versions antérieures à 7.4.2
  • FortiAuthenticator 6.4.x toutes versions
  • FortiAuthenticator 6.5.x versions antérieures à 6.5.4
  • FortiAuthenticator 6.6.x versions antérieures à 6.6.1
  • FortiNAC 7.2.x versions antérieures à 7.2.4
  • FortiNAC 8.7.x toutes versions
  • FortiNAC 8.8.x toutes versions
  • FortiNAC 9.1.x toutes versions
  • FortiNAC 9.2.x toutes versions
  • FortiNAC 9.4.x versions antérieures à 9.4.5
  • FortiOS 6.0.x toutes versions
  • FortiOS 6.2.x toutes versions
  • FortiOS 6.4.x toutes versions
  • FortiOS 7.0 toutes versions pour les vulnérabilités CVE-2023-36640 et CVE-2023-45583
  • FortiOS 7.0.x versions antérieures à 7.0.13
  • FortiOS 7.2.x versions antérieures à 7.2.8
  • FortiOS 7.4.x versions antérieures à 7.4.2
  • FortiPAM 1.0.x toutes versions
  • FortiPAM 1.1.x versions antérieures à 1.1.1
  • FortiPortal 6.0.x versions antérieures à 6.0.15
  • FortiPortal 7.0.x versions antérieures à 7.0.7
  • FortiPortal 7.2.x versions antérieures à 7.2.2
  • FortiProxy 1.0.x toutes versions
  • FortiProxy 1.1.x toutes versions
  • FortiProxy 1.2.x toutes versions
  • FortiProxy 2.0.x toutes versions
  • FortiProxy 7.0.x versions antérieures à 7.0.14
  • FortiProxy 7.2.x versions antérieures à 7.2.8
  • FortiProxy 7.4.x versions antérieures à 7.4.2
  • FortiSandbox 4.2.x versions antérieures à 4.2.7
  • FortiSandbox 4.4.x versions antérieures à 4.4.5
  • FortiSOAR 7.0.x toutes versions
  • FortiSOAR 7.2.x toutes versions
  • FortiSOAR 7.3.x versions antérieures à 7.3.1
  • FortiSOAR cyops Connector versions antérieures à 2.1.0
  • FortiSwitchManager 7.0.x versions antérieures à 7.0.3
  • FortiSwitchManager 7.2.x versions antérieures à 7.2.3
  • FortiVoice 6.0.x toutes versions
  • FortiVoice 6.4.x versions antérieures à 6.4.9
  • FortiVoice 7.0.x versions antérieures à 7.0.2
  • FortiWeb 6.3.x toutes versions
  • FortiWeb 6.4.x toutes versions
  • FortiWeb 7.0.x toutes versions pour la vulnérabilité CVE-2024-23665
  • FortiWeb 7.0.x versions antérieures à 7.0.9
  • FortiWeb 7.2.x versions antérieures à 7.2.8
  • FortiWeb 7.4.x versions antérieures à 7.4.3
  • FortiWebManager 6.0.x toutes versions
  • FortiWebManager 6.2.x versions antérieures à 6.2.5
  • FortiWebManager 6.3.x versions antérieures à 6.3.1
  • FortiWebManager 7.0.x versions antérieures à 7.0.5
  • FortiWebManager 7.2.x versions antérieures à 7.2.1

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Fortinet. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance, une atteinte à la confidentialité des données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 15 mai 2024
    Version initiale