Vulnérabilité d’exécution de code à distance non authentifiée dans FortiOS SSL-VPN

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine: bjCSIRT

Numéro: 2022/ALERTE/046

Date de l’alerte: 13/12/2022

APERÇU :

Une vulnérabilité classée critique a été trouvée dans FortiOS SSL-VPN et permet à un attaquant d’exécuter à distance un code arbitraire.

DESCRIPTION :

Libellé CVE-2022-42475, cette vulnérabilité est identifiée à un débordement de mémoire tampon basée sur le tas [CWE-122] dans FortiOS SSL-VPN permettant à un attaquant une connexion distante non authentifiée et l’exécution de code ou des commandes arbitraires via des requêtes spécialement conçues.

La liste complète des versions concernées se trouve dans le champ SYSTEMES AFFECTÉS.

IMPACT :

  • Atteinte à la confidentialité ;
  • Atteinte à la disponibilité ;
  • Atteinte à l’intégrité des données.

SYSTEMES AFFECTÉS : 

  • FortiOS version 7.2.0 à 7.2.2 ;
  • FortiOS versions 7.0.0 à 7.0.8 ;
  • FortiOS versions 6.4.0 à 6.4.10 ;
  • FortiOS version 6.2.0 à 6.2.11 ;
  • FortiOS-6K7K version 7.0.0 à 7.0.7
  • FortiOS-6K7K versions 6.4.0 à 6.4.9
  • FortiOS-6K7K versions 6.2.0 à 6.2.11

MESURES À PRENDRE :

  • Mettre à jour FortiOS aux versions 7.2.3, 7.0.9 et 6.4.11

REFERENCES :

Partagez sur vos réseaux.