CERTFR-2025-ALE-002

<span style="color: #ff0000;"><strong>\[Mise à jour du 28 janvier 2025\]</strong> </span><strong> Une preuve de concept permettant l'exploitation de cette vulnérabilité est disponible publiquement. </strong> Le 14 janvier 2025, Fortinet a publié un avis de sécurité concernant la vulnérabilité critique CVE-2024-55591 affectant FortiOS et FortiProxy. Elle permet à un attaquant distant non authentifié de contourner le mécanisme d'authentification de l'interface d'administration d'un équipement FortiOS ou FortiProxy et d'obtenir des privilèges super-administrateur via l'envoi de requêtes forgées au module websocket <code>Node.js</code>. Le CERT-FR rappelle que l'exposition d'une interface d'administration sur Internet est contraire aux bonnes pratiques. Le CERT-FR recommande donc fortement d'appliquer le correctif dans les plus brefs délais. Fortinet indique que cette vulnérabilité est activement exploitée.