L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Fortinet FortiGate Virtual Appliance

avis de vulnérabilité informatique CVE-2017-7738

FortiOS : obtention d'information via fnsysctl

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via fnsysctl de FortiOS, afin d'obtenir des informations sensibles.
Produits concernés : FortiGate, FortiGate Virtual Appliance, FortiOS.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : compte privilégié.
Date création : 11/12/2017.
Références : CERTFR-2017-AVI-459, CVE-2017-7738, FG-IR-17-172, VIGILANCE-VUL-24729.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via fnsysctl de FortiOS, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité CVE-2017-7739

FortiOS : Cross Site Scripting via Web Proxy Disclaimer

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via Web Proxy Disclaimer de FortiOS, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : FortiGate, FortiGate Virtual Appliance, FortiOS.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 06/11/2017.
Références : CERTFR-2017-AVI-392, CVE-2017-7739, FG-IR-17-168, VIGILANCE-VUL-24351.

Description de la vulnérabilité

Le produit FortiOS dispose d'un service web.

Cependant, les données reçues via Web Proxy Disclaimer ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via Web Proxy Disclaimer de FortiOS, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2017-7733

FortiOS : Cross Site Scripting via Login Disclaimer

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via Login Disclaimer de FortiOS, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : FortiGate, FortiGate Virtual Appliance, FortiOS.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 25/10/2017.
Références : CVE-2017-7733, FG-IR-17-113, VIGILANCE-VUL-24233.

Description de la vulnérabilité

Le produit FortiOS dispose d'un service web.

Cependant, les données reçues via Login Disclaimer ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via Login Disclaimer de FortiOS, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2017-14182

FortiOS : déni de service via "params" Parameter

Synthèse de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via "params" Parameter de FortiOS, afin de mener un déni de service.
Produits concernés : FortiGate, FortiGate Virtual Appliance, FortiOS.
Gravité : 2/4.
Conséquences : déni de service du serveur, déni de service du service, déni de service du client.
Provenance : client intranet.
Date création : 25/10/2017.
Références : CVE-2017-14182, FG-IR-17-206, VIGILANCE-VUL-24232.

Description de la vulnérabilité

Un attaquant peut provoquer une erreur fatale via "params" Parameter de FortiOS, afin de mener un déni de service.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2017-3130

FortiOS : obtention d'information via IKE Vendor ID

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via IKE Vendor ID de FortiOS, afin d'obtenir des informations sensibles.
Produits concernés : FortiGate, FortiGate Virtual Appliance, FortiOS.
Gravité : 1/4.
Conséquences : lecture de données.
Provenance : client internet.
Date création : 09/08/2017.
Références : CERTFR-2017-AVI-253, CVE-2017-3130, FG-IR-17-073, VIGILANCE-VUL-23483.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via IKE Vendor ID de FortiOS, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité 23482

FortiOS : amélioration de la sécurité via SMBv1 Support Disabled

Synthèse de la vulnérabilité

La sécurité de FortiOS a été améliorée via SMBv1 Support Disabled.
Produits concernés : FortiGate, FortiGate Virtual Appliance, FortiOS.
Gravité : 1/4.
Conséquences : sans conséquence.
Provenance : client internet.
Date création : 09/08/2017.
Références : CERTFR-2017-AVI-253, FG-IR-17-103, VIGILANCE-VUL-23482.

Description de la vulnérabilité

Ce bulletin concerne une amélioration de la sécurité.

Il ne décrit pas une vulnérabilité.

La sécurité de FortiOS a donc été améliorée via SMBv1 Support Disabled.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité informatique CVE-2017-3131 CVE-2017-3132 CVE-2017-3133

FortiOS : Cross Site Scripting

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting de FortiOS, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : FortiGate, FortiGate Virtual Appliance, FortiOS.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 3.
Date création : 28/07/2017.
Références : CERTFR-2017-AVI-240, CVE-2017-3131, CVE-2017-3132, CVE-2017-3133, FG-IR-17-104, VIGILANCE-VUL-23387.

Description de la vulnérabilité

Le produit FortiOS dispose d'un service web.

Cependant, les données reçues ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting de FortiOS, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2017-7734 CVE-2017-7735

Fortinet FortiOS : Cross Site Scripting via les commentaires

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via les commentaires dans Fortinet FortiOS, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : FortiGate, FortiGate Virtual Appliance, FortiOS.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Nombre de vulnérabilités dans ce bulletin : 2.
Date création : 15/06/2017.
Références : CVE-2017-7734, CVE-2017-7735, FG-IR-16-047, FG-IR-16-048, FG-IR-17-127, VIGILANCE-VUL-22984.

Description de la vulnérabilité

Le produit Fortinet FortiOS dispose d'un service web.

Cependant, les données reçues pour des commentaires ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via les commentaires dans Fortinet FortiOS, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2017-3128

FortiOS : Cross Site Scripting via Policy Global-label Parameter

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via Policy Global-label Parameter de FortiOS, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : FortiGate, FortiGate Virtual Appliance, FortiOS.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 18/05/2017.
Références : CVE-2017-3128, FG-IR-17-057, VIGILANCE-VUL-22763.

Description de la vulnérabilité

Le produit FortiOS dispose d'un service web.

Cependant, les données reçues via Policy Global-label Parameter ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via Policy Global-label Parameter de FortiOS, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2017-3127

FortiOS : Cross Site Scripting via srcintf

Synthèse de la vulnérabilité

Un attaquant peut provoquer un Cross Site Scripting via srcintf de FortiOS, afin d'exécuter du code JavaScript dans le contexte du site web.
Produits concernés : FortiGate, FortiGate Virtual Appliance, FortiOS.
Gravité : 2/4.
Conséquences : accès/droits client.
Provenance : document.
Date création : 26/04/2017.
Références : CVE-2017-3127, FG-IR-17-017, VIGILANCE-VUL-22570.

Description de la vulnérabilité

Le produit FortiOS dispose d'un service web.

Cependant, les données reçues via srcintf ne sont pas filtrées avant d'être insérées dans les documents HTML générés.

Un attaquant peut donc provoquer un Cross Site Scripting via srcintf de FortiOS, afin d'exécuter du code JavaScript dans le contexte du site web.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Fortinet FortiGate Virtual Appliance :