Six nouvelles vulnérabilités affectent les produits FortiOS, FortiClient EMS, FortiManager et FortiProxy, selon la CISA, l’agence américaine de cybersécurité. Trois des failles sont de gravité critique : 9,3/10.
La vulnérabilité critique CVE-2023-48788 affecte FortiClientEMS. Le fournisseur confirme qu’elle pourrait permettre à « un attaquant distant et non authentifié d’exécuter des commandes arbitraires sur le poste de travail de l’administrateur en créant des entrées de journal malveillantes avec des requêtes élaborées vers le serveur ».
Quant à CVE-2023-42789 et CVE-2023-42790, elles concernent FortiOS et FortiProxy. L’une est une faille d’écriture hors limites et l’autre, une vulnérabilité de débordement de mémoire tampon. Combinées, ces vulnérabilités pourraient permettre à « un attaquant interne ayant accès au portail captif d’exécuter du code ou des commandes arbitraires par le biais de requêtes HTTP spécialement élaborées », selon l’avis de sécurité.
Fortinet n’a pas précisé si ces failles avaient déjà été exploitées.
Les trois autres vulnérabilités listées sont de gravité élevée. Elles affectent FortiClientEMS (CVE-2023-47534), FortiManager (CVE-2023-36554), FortiOS et FortiProxy SSLVPN (CVE-2024-23112).