Double problème pour les clients de Fortinet : deux vulnérabilités critiques découvertes dans FortiSIEM

Le produit FortiSIEM de Fortinet est vulnérable à deux nouvelles vulnérabilités de sécurité de gravité maximale qui permettent l’exécution de code à distance.

En enregistrant les identités CVE pour les vulnérabilités, Fortinet a renvoyé à son propre avis pour fournir plus d’informations, mais le lien dirige les utilisateurs vers un problème plus ancien qui a été résolu au début du mois d’octobre 2023.

«Plusieurs neutralisations incorrectes d’éléments spéciaux utilisés dans une vulnérabilité OS Command [CWE-78] dans le superviseur FortiSIEM peuvent permettre à un attaquant distant non authentifié d’exécuter des commandes non autorisées par le biais de requêtes API élaborées», indique la description de la vulnérabilité dans l’avis.

Bien que l’avis de Fortinet n’ait pas été officiellement mis à jour, il suggère que les deux nouvelles vulnérabilités pourraient être de même nature que celle corrigée en octobre, affectant les versions plus récentes de FortiSIEM. The Register a demandé à Fortinet des précisions à ce sujet, mais n’a pas reçu de réponse.

Nous nous sommes également entretenus avec Sean Wright, expert en sécurité des applications, qui a déclaré que les deux vulnérabilités les plus récentes de FortiSIEM seront probablement classées comme la même vulnérabilité du mois d’octobre, ou du moins comme une variation de celle-ci ayant un impact sur des versions différentes ou supplémentaires.

Bien qu’il n’y ait pas de code d’exploitation disponible publiquement, les clients de Fortinet voudront résoudre ces vulnérabilités dès que possible, étant donné leur gravité.

Partager cet article sur les médias sociaux :

Abonnez-vous à Notre Infolettre !

Restez au fait des risques de cybersécurité, de l’évolution des menaces et de l’actualité du secteur.

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Dernières Nouvelles

Services en Vedette

Actualités Concernant la Cybersécurité

Qu’il s’agisse de cyberattaques majeures, de vulnérabilités critiques récemment découvertes ou de bonnes pratiques recommandées, lisez d’abord ici :

COMMENCEZ DÈS AUJOURD'HUI

Faites-nous part de vos besoins
Obtenir une réponse le même jour

Vous avez une demande urgente ? Appelez-nous au 1-877-805-7475 ou Prenez rendez-vous.

Une fois le formulaire envoyé :

Un expert vous contactera pour se renseigner sur votre projet de cybersécurité

La portée du projet sera défini (environnement cible, délais, exigences, etc.)

Une soumission détaillée comprenant un prix tout inclus vous est envoyée

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

ÉDITION 2024

Guide de l'Acheteur de Tests d'Intrusion

Tout ce que vous Devez Savoir

Planifiez et réalisez des projets de test d’intrusion avec succès.

PLANIFIER UNE RENCONTRE

Saisissez Votre Adresse Courriel

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

* Pas de fournisseur de courrier électronique gratuit (par exemple : gmail.com, hotmail.com, etc.)

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.