L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de FortiManager Virtual Appliance

bulletin de vulnérabilité informatique CVE-2019-5587 CVE-2019-6695

FortiOS/FortiManager VM : élévation de privilèges via Image File System Integrity

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via Image File System Integrity de FortiOS/FortiManager VM, afin d'élever ses privilèges.
Produits concernés : FortiGate Virtual Appliance, FortiManager Virtual Appliance, FortiOS.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : serveur intranet.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 05/06/2019.
Références : CERTFR-2019-AVI-358, CVE-2019-5587, CVE-2019-6695, FG-IR-19-017, VIGILANCE-VUL-29468.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via Image File System Integrity de FortiOS/FortiManager VM, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2018-1360

FortiManager : obtention d'information via REST API JSON Responses

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via REST API JSON Responses de FortiManager, afin d'obtenir des informations sensibles.
Produits concernés : FortiManager, FortiManager Virtual Appliance.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : serveur intranet.
Date création : 24/04/2019.
Références : CERTFR-2019-AVI-185, CVE-2018-1360, FG-IR-18-051, VIGILANCE-VUL-29117.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via REST API JSON Responses de FortiManager, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2018-1353

FortiManager : obtention d'information via Vdoms Settings

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Vdoms Settings de FortiManager, afin d'obtenir des informations sensibles.
Produits concernés : FortiManager, FortiManager Virtual Appliance.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : compte utilisateur.
Date création : 28/08/2018.
Références : CERTFR-2018-AVI-411, CVE-2018-1353, FG-IR-18-016, VIGILANCE-VUL-27097.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Vdoms Settings de FortiManager, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2017-17541

FortiAnalyzer, FortiManager : Cross Site Scripting via CA And CRL Certificate View Page

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via CA And CRL Certificate View Page de FortiAnalyzer/FortiManager, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : FortiAnalyzer, FortiAnalyzer Virtual Appliance, FortiManager, FortiManager Virtual Appliance.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 06/07/2018.
Références : CERTFR-2018-AVI-326, CVE-2017-17541, FG-IR-17-305, VIGILANCE-VUL-26643.

Description de la vulnérabilité

Le produit FortiAnalyzer/FortiManager dispose d'un service web.

Cependant, les données reçues via CA And CRL Certificate View Page ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via CA And CRL Certificate View Page de FortiAnalyzer/FortiManager, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2018-1355

FortiAnalyzer, FortiManager : redirection via PDF File

Synthèse de la vulnérabilité

Un attaquant peut tromper l'utilisateur via PDF File de FortiAnalyzer/FortiManager, afin de le rediriger vers un site malveillant.
Produits concernés : FortiAnalyzer, FortiAnalyzer Virtual Appliance, FortiManager, FortiManager Virtual Appliance.
Gravité : 1/4.
Conséquences : accès/droits utilisateur, lecture de données.
Provenance : client internet.
Date création : 25/06/2018.
Références : CERTFR-2018-AVI-303, CVE-2018-1355, FG-IR-18-022, VIGILANCE-VUL-26527.

Description de la vulnérabilité

Un attaquant peut tromper l'utilisateur via PDF File de FortiAnalyzer/FortiManager, afin de le rediriger vers un site malveillant.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2018-1354

FortiAnalyzer, FortiManager : Cross Site Scripting via Avatar Picture

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via Avatar Picture de FortiAnalyzer/FortiManager, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : FortiAnalyzer, FortiAnalyzer Virtual Appliance, FortiManager, FortiManager Virtual Appliance.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 25/06/2018.
Références : CERTFR-2018-AVI-303, CVE-2018-1354, FG-IR-18-014, VIGILANCE-VUL-26526.

Description de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via Avatar Picture de FortiAnalyzer/FortiManager, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2018-1351

FortiManager : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de FortiManager, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : FortiManager, FortiManager Virtual Appliance.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 25/06/2018.
Références : CERTFR-2018-AVI-303, CVE-2018-1351, FG-IR-18-006, VIGILANCE-VUL-26525.

Description de la vulnérabilité

Le produit FortiManager dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de FortiManager, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2017-3126

FortiAnalyzer, FortiManager : redirection

Synthèse de la vulnérabilité

Un attaquant peut tromper l'utilisateur de FortiAnalyzer / FortiManager, afin de le rediriger vers un site malveillant.
Produits concernés : FortiAnalyzer, FortiAnalyzer Virtual Appliance, FortiManager, FortiManager Virtual Appliance.
Gravité : 1/4.
Conséquences : accès/droits utilisateur, lecture de données.
Provenance : client internet.
Date création : 19/05/2017.
Références : CVE-2017-3126, FG-IR-17-014, VIGILANCE-VUL-22773.

Description de la vulnérabilité

Le produit FortiAnalyzer / FortiManager dispose d'un service web.

Cependant, le service web accepte de rediriger la victime sans la prévenir, vers un site externe indiqué par l'attaquant.

Un attaquant peut donc tromper l'utilisateur de FortiAnalyzer / FortiManager, afin de le rediriger vers un site malveillant.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2015-7363

FortiAnalyzer, FortiManager : Cross Site Scripting via Report Filters

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via Report Filters de FortiAnalyzer ou FortiManager, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : FortiAnalyzer, FortiAnalyzer Virtual Appliance, FortiManager, FortiManager Virtual Appliance.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 06/10/2016.
Références : CVE-2015-7363, VIGILANCE-VUL-20790.

Description de la vulnérabilité

Les produits FortiAnalyzer et FortiManager disposent d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via Report Filters de FortiAnalyzer ou FortiManager, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2016-3193 CVE-2016-3194 CVE-2016-3195

Fortinet FortiManager / FortiAnalyzer : quatre vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Fortinet FortiManager / FortiAnalyzer.
Produits concernés : FortiAnalyzer, FortiAnalyzer Virtual Appliance, FortiManager, FortiManager Virtual Appliance.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 4.
Date création : 16/06/2016.
Date révision : 04/08/2016.
Références : 1624459, 1624561, CVE-2016-3193, CVE-2016-3194, CVE-2016-3195, CVE-2016-3196, VIGILANCE-VUL-19914.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Fortinet FortiManager / FortiAnalyzer.

Un attaquant peut provoquer un Cross Site Scripting via Add Tags, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; 1624459]

Un attaquant peut provoquer un Cross Site Scripting via Predefined Bookmarks, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4]

Un attaquant peut provoquer un Cross Site Scripting via tabview.htm, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4]

Un attaquant peut provoquer un Cross Site Scripting via filename, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; 1624561]
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur FortiManager Virtual Appliance :