L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de FortiManager Virtual Appliance

annonce de vulnérabilité informatique CVE-2018-1360

FortiManager : obtention d'information via REST API JSON Responses

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via REST API JSON Responses de FortiManager, afin d'obtenir des informations sensibles.
Produits concernés : FortiManager, FortiManager Virtual Appliance.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : serveur intranet.
Date création : 24/04/2019.
Références : CERTFR-2019-AVI-185, CVE-2018-1360, FG-IR-18-051, VIGILANCE-VUL-29117.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via REST API JSON Responses de FortiManager, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2018-1353

FortiManager : obtention d'information via Vdoms Settings

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Vdoms Settings de FortiManager, afin d'obtenir des informations sensibles.
Produits concernés : FortiManager, FortiManager Virtual Appliance.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : compte utilisateur.
Date création : 28/08/2018.
Références : CERTFR-2018-AVI-411, CVE-2018-1353, FG-IR-18-016, VIGILANCE-VUL-27097.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Vdoms Settings de FortiManager, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2017-17541

FortiAnalyzer, FortiManager : Cross Site Scripting via CA And CRL Certificate View Page

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via CA And CRL Certificate View Page de FortiAnalyzer/FortiManager, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : FortiAnalyzer, FortiAnalyzer Virtual Appliance, FortiManager, FortiManager Virtual Appliance.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 06/07/2018.
Références : CERTFR-2018-AVI-326, CVE-2017-17541, FG-IR-17-305, VIGILANCE-VUL-26643.

Description de la vulnérabilité

Le produit FortiAnalyzer/FortiManager dispose d'un service web.

Cependant, les données reçues via CA And CRL Certificate View Page ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via CA And CRL Certificate View Page de FortiAnalyzer/FortiManager, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2018-1355

FortiAnalyzer, FortiManager : redirection via PDF File

Synthèse de la vulnérabilité

Un attaquant peut tromper l'utilisateur via PDF File de FortiAnalyzer/FortiManager, afin de le rediriger vers un site malveillant.
Produits concernés : FortiAnalyzer, FortiAnalyzer Virtual Appliance, FortiManager, FortiManager Virtual Appliance.
Gravité : 1/4.
Conséquences : accès/droits utilisateur, lecture de données.
Provenance : client internet.
Date création : 25/06/2018.
Références : CERTFR-2018-AVI-303, CVE-2018-1355, FG-IR-18-022, VIGILANCE-VUL-26527.

Description de la vulnérabilité

Un attaquant peut tromper l'utilisateur via PDF File de FortiAnalyzer/FortiManager, afin de le rediriger vers un site malveillant.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2018-1354

FortiAnalyzer, FortiManager : Cross Site Scripting via Avatar Picture

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via Avatar Picture de FortiAnalyzer/FortiManager, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : FortiAnalyzer, FortiAnalyzer Virtual Appliance, FortiManager, FortiManager Virtual Appliance.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 25/06/2018.
Références : CERTFR-2018-AVI-303, CVE-2018-1354, FG-IR-18-014, VIGILANCE-VUL-26526.

Description de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via Avatar Picture de FortiAnalyzer/FortiManager, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2018-1351

FortiManager : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de FortiManager, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : FortiManager, FortiManager Virtual Appliance.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 25/06/2018.
Références : CERTFR-2018-AVI-303, CVE-2018-1351, FG-IR-18-006, VIGILANCE-VUL-26525.

Description de la vulnérabilité

Le produit FortiManager dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de FortiManager, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2017-3126

FortiAnalyzer, FortiManager : redirection

Synthèse de la vulnérabilité

Un attaquant peut tromper l'utilisateur de FortiAnalyzer / FortiManager, afin de le rediriger vers un site malveillant.
Produits concernés : FortiAnalyzer, FortiAnalyzer Virtual Appliance, FortiManager, FortiManager Virtual Appliance.
Gravité : 1/4.
Conséquences : accès/droits utilisateur, lecture de données.
Provenance : client internet.
Date création : 19/05/2017.
Références : CVE-2017-3126, FG-IR-17-014, VIGILANCE-VUL-22773.

Description de la vulnérabilité

Le produit FortiAnalyzer / FortiManager dispose d'un service web.

Cependant, le service web accepte de rediriger la victime sans la prévenir, vers un site externe indiqué par l'attaquant.

Un attaquant peut donc tromper l'utilisateur de FortiAnalyzer / FortiManager, afin de le rediriger vers un site malveillant.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2015-7363

FortiAnalyzer, FortiManager : Cross Site Scripting via Report Filters

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via Report Filters de FortiAnalyzer ou FortiManager, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : FortiAnalyzer, FortiAnalyzer Virtual Appliance, FortiManager, FortiManager Virtual Appliance.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 06/10/2016.
Références : CVE-2015-7363, VIGILANCE-VUL-20790.

Description de la vulnérabilité

Les produits FortiAnalyzer et FortiManager disposent d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via Report Filters de FortiAnalyzer ou FortiManager, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2016-3193 CVE-2016-3194 CVE-2016-3195

Fortinet FortiManager / FortiAnalyzer : quatre vulnérabilités

Synthèse de la vulnérabilité

Un attaquant peut employer plusieurs vulnérabilités de Fortinet FortiManager / FortiAnalyzer.
Produits concernés : FortiAnalyzer, FortiAnalyzer Virtual Appliance, FortiManager, FortiManager Virtual Appliance.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 4.
Date création : 16/06/2016.
Date révision : 04/08/2016.
Références : 1624459, 1624561, CVE-2016-3193, CVE-2016-3194, CVE-2016-3195, CVE-2016-3196, VIGILANCE-VUL-19914.

Description de la vulnérabilité

Plusieurs vulnérabilités ont été annoncées dans Fortinet FortiManager / FortiAnalyzer.

Un attaquant peut provoquer un Cross Site Scripting via Add Tags, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; 1624459]

Un attaquant peut provoquer un Cross Site Scripting via Predefined Bookmarks, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4]

Un attaquant peut provoquer un Cross Site Scripting via tabview.htm, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4]

Un attaquant peut provoquer un Cross Site Scripting via filename, afin d'exécuter du code JavaScript dans le contexte du site web. [grav:2/4; 1624561]
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité 19291

Fortinet FortiManager, FortiAnalyzer : Cross Site Scripting de /report/graphic/upload/

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de Fortinet FortiManager/FortiAnalyzer, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : FortiAnalyzer, FortiAnalyzer Virtual Appliance, FortiManager, FortiManager Virtual Appliance.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 04/04/2016.
Références : VIGILANCE-VUL-19291.

Description de la vulnérabilité

Le produit Fortinet FortiManager/FortiAnalyzer dispose d'un service web.

Cependant, les données reçues par la page /report/graphic/upload/ ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de Fortinet FortiManager/FortiAnalyzer, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur FortiManager Virtual Appliance :