L’entreprise de solutions de cybersécurité Fortinet a publié des mises à jour de sécurité pour ses produits FortiNAC et FortiWeb, corrigeant deux vulnérabilités de gravité critique qui peuvent permettre à des attaquants non authentifiés d’exécuter du code arbitraire ou des commandes.
FortiNAC est une solution de contrôle d’accès au réseau qui aide les organisations à obtenir une visibilité en temps réel du réseau, à appliquer des politiques de sécurité et à détecter et atténuer les menaces.
«Une vulnérabilité de contrôle externe du nom de fichier ou du chemin d’accès [CWE-73] dans le serveur web FortiNAC peut permettre à un attaquant non authentifié d’effectuer une écriture arbitraire sur le système», peut-on lire dans l’avis de sécurité.
La vulnérabilité CVE-2022-39952 est corrigée dans FortiNAC 9.4.1 et versions ultérieures, 9.2.6 et versions ultérieures, 9.1.8 et versions ultérieures, et 7.2.0 et versions ultérieures.
La deuxième vulnérabilité qui affecte FortiWeb est CVE-2021-42756, qui a un score CVSS v3 de 9.3.
Pour corriger la faille, les administrateurs doivent mettre à jour FortiWeb 7.0.0 ou une version ultérieure, 6.3.17 ou une version ultérieure, 6.2.7 ou une version ultérieure, 6.1.3 ou une version ultérieure, et 6.0.8 ou une version ultérieure.