Vulnérabilité de type exécution de code à distance sur FortiNAC
FortiNAC est la solution de contrôle d’accès réseau de Fortinet qui améliore Fortinet Security Fabric avec visibilité, contrôle et réponse automatisée pour tout ce qui se connecte au réseau. FortiNAC offre une protection contre les menaces IoT, étend le contrôle aux appareils tiers et orchestre une réponse automatique à un large éventail d’événements réseau. Elle présente une vulnérabilité de type exécution de code à distance dans les requêtes HTTP de FortiNAC nommée CVE-2022-39952 qui a été publiée le 16/02/2023.
Avec ladite vulnérabilité, un attaquant non authentifié pourrait exécuter du code ou des commandes non autorisées via une requête HTTP spécifiquement conçue.
Cette vulnérabilité est de sévérité Critique et son score CVSSv3 est de 9,8.
IMPACT
- Atteinte à la confidentialité, à la disponibilité et à l’intégrité des données et services.
SYSTEMES AFFECTÉS
La vulnérabilité affecte les versions FortiNAC :
- 8.3 ; 8.5 ; 8.6 ; 8.7 et 8.8
- 9.1.0 à 9.1.7 ; 9.2.0 à 9.2.5 et 9.4.0
MESURES À PRENDRE
- Il est fortement recommandé de faire la mise à jour de FortiNAC vers les versions 7.2.0 ; 9.1.8; 9.2.6 ; 9.4.1.
Sources