CVSS: 8.8EPSS: 0%CPEs: 18EXPL: 0CVE-2022-27488
https://notcve.org/view.php?id=CVE-2022-27488
A cross-site request forgery (CSRF) in Fortinet FortiVoiceEnterprise version 6.4.x, 6.0.x, FortiSwitch version 7.0.0 through 7.0.4, 6.4.0 through 6.4.10, 6.2.0 through 6.2.7, 6.0.x, FortiMail version 7.0.0 through 7.0.3, 6.4.0 through 6.4.6, 6.2.x, 6.0.x FortiRecorder version 6.4.0 through 6.4.2, 6.0.x, 2.7.x, 2.6.x, FortiNDR version 1.x.x allows a remote unauthenticated attacker to execute commands on the CLI via tricking an authenticated administrator to execute malicious GET requests. Cross-Site Request Forgery (CSRF) en Fortinet FortiVoiceEnterprise versión 6.4.x, 6.0.x, FortiSwitch versión 7.0.0 a 7.0.4, 6.4.0 a 6.4.10, 6.2.0 a 6.2.7, 6.0.x , FortiMail versión 7.0.0 a 7.0.3, 6.4.0 a 6.4.6, 6.2.x, 6.0.x FortiRecorder versión 6.4.0 a 6.4.2, 6.0.x, 2.7.x, 2.6.x, FortiNDR versión 1.xx permite que un atacante remoto no autenticado ejecute comandos en la CLI engañando a un administrador autenticado para que ejecute solicitudes GET maliciosas. • https://fortiguard.com/psirt/FG-IR-22-038 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 5.4EPSS: 0%CPEs: 2EXPL: 0CVE-2023-36633
https://notcve.org/view.php?id=CVE-2023-36633
An improper authorization vulnerability [CWE-285] in FortiMail webmail version 7.2.0 through 7.2.2 and before 7.0.5 allows an authenticated attacker to see and modify the title of address book folders of other users via crafted HTTP or HTTPs requests. Una vulnerabilidad de autorización inadecuada [CWE-285] en el correo web FortiMail versión 7.2.0 a 7.2.2 y anteriores a 7.0.5 permite a un atacante autenticado ver y modificar el título de las carpetas de la libreta de direcciones de otros usuarios a través de solicitudes HTTP o HTTP manipuladas. • https://fortiguard.com/psirt/FG-IR-23-203 • CWE-285: Improper Authorization CWE-732: Incorrect Permission Assignment for Critical Resource •
CVSS: 7.3EPSS: 0%CPEs: 5EXPL: 0CVE-2023-45582
https://notcve.org/view.php?id=CVE-2023-45582
An improper restriction of excessive authentication attempts vulnerability [CWE-307] in FortiMail webmail version 7.2.0 through 7.2.4, 7.0.0 through 7.0.6 and before 6.4.8 may allow an unauthenticated attacker to perform a brute force attack on the affected endpoints via repeated login attempts. Una vulnerabilidad de restricción inadecuada de intentos excesivos de autenticación [CWE-307] en el correo web FortiMail versión 7.2.0 a 7.2.4, 7.0.0 a 7.0.6 y anteriores a 6.4.8 puede permitir que un atacante no autenticado realice un ataque de fuerza bruta en los endpoints afectados mediante repetidos intentos de inicio de sesión. • https://fortiguard.com/psirt/FG-IR-23-287 • CWE-307: Improper Restriction of Excessive Authentication Attempts •
CVSS: 8.8EPSS: 0%CPEs: 7EXPL: 0CVE-2023-36556
https://notcve.org/view.php?id=CVE-2023-36556
An incorrect authorization vulnerability [CWE-863] in FortiMail webmail version 7.2.0 through 7.2.2, version 7.0.0 through 7.0.5 and below 6.4.7 allows an authenticated attacker to login on other users accounts from the same web domain via crafted HTTP or HTTPs requests. Una vulnerabilidad de autorización incorrecta [CWE-863] en el correo web FortiMail versión 7.2.0 a 7.2.2, versión 7.0.0 a 7.0.5 e inferior a 6.4.7 permite a un atacante autenticado iniciar sesión en cuentas de otros usuarios desde el mismo dominio web a través de solicitudes HTTP o HTTPs manipuladas. • https://fortiguard.com/psirt/FG-IR-23-202 • CWE-863: Incorrect Authorization •
CVSS: 8.6EPSS: 0%CPEs: 24EXPL: 0CVE-2022-26122
https://notcve.org/view.php?id=CVE-2022-26122
An insufficient verification of data authenticity vulnerability [CWE-345] in FortiClient, FortiMail and FortiOS AV engines version 6.2.168 and below and version 6.4.274 and below may allow an attacker to bypass the AV engine via manipulating MIME attachment with junk and pad characters in base64. Una verificación insuficiente de la vulnerabilidad de autenticidad de datos [CWE-345] en los motores FortiClient, FortiMail y FortiOS AV versión 6.2.168 e inferiores y la versión 6.4.274 e inferiores puede permitir a un atacante eludir el motor AV mediante la manipulación del archivo adjunto MIME con basura y pad. caracteres en base64. • https://fortiguard.com/psirt/FG-IR-22-074 • CWE-345: Insufficient Verification of Data Authenticity •