Origine: UBN-CSIRT

Numéro: 2022/ALERTE/017

Date de l’alerte: 14/12/2022

APERÇU :

Une vulnérabilité classée critique a été trouvée dans FortiOS SSL-VPN et permet à un attaquant d’exécuter à distance un code arbitraire.

DESCRIPTION :

Libellé CVE-2022-42475, cette vulnérabilité est identifiée à un débordement de mémoire tampon basée sur le tas [CWE-122] dans FortiOS SSL-VPN permettant à un attaquant une connexion distante non authentifiée et l’exécution de code ou des commandes arbitraires via des requêtes spécialement conçues.

La liste complète des versions concernées se trouve dans le champ SYSTEMES AFFECTÉS.

IMPACT :

  • Atteinte à la confidentialité ;
  • Atteinte à la disponibilité ;
  • Atteinte à l’intégrité des données.

SYSTEMES AFFECTÉS : 

  • FortiOS version 7.2.0 à 7.2.2 ;
  • FortiOS versions 7.0.0 à 7.0.8 ;
  • FortiOS versions 6.4.0 à 6.4.10 ;
  • FortiOS version 6.2.0 à 6.2.11 ;
  • FortiOS-6K7K version 7.0.0 à 7.0.7
  • FortiOS-6K7K versions 6.4.0 à 6.4.9
  • FortiOS-6K7K versions 6.2.0 à 6.2.11

MESURES À PRENDRE :

  • Mettre à jour FortiOS aux versions 7.2.3, 7.0.9 et 6.4.11

REFERENCES :