16 results (0.003 seconds)

CVSS: 3.2EPSS: 0%CPEs: 4EXPL: 0

An information disclosure vulnerability [CWE-200] in FortiAnalyzerVM and FortiManagerVM versions 7.0.0 and 6.4.6 and below may allow an authenticated attacker to read the FortiCloud credentials which were used to activate the trial license in cleartext. Una vulnerabilidad de divulgación de información [CWE-200] en FortiAnalyzerVM y FortiManagerVM versiones 7.0.0 y 6.4.6 y por debajo, puede permitir a un atacante autenticado leer las credenciales de FortiCloud que fueron usadas para activar la licencia de prueba en texto sin cifrar • https://fortiguard.com/advisory/FG-IR-21-112 • CWE-522: Insufficiently Protected Credentials •

CVSS: 5.4EPSS: 0%CPEs: 2EXPL: 0

An improper authentication in Fortinet FortiManager version 6.4.3 and below, 6.2.6 and below allows attacker to assign arbitrary Policy and Object modules via crafted requests to the request handler. Una autenticación inapropiada en Fortinet FortiManager versión 6.4.3 y siguientes, versión 6.2.6 y por debajo, permite a un atacante asignar módulos arbitrarios de Políticas y Objetos por medio de peticiones diseñadas al manejador de peticiones • https://fortiguard.com/advisory/FG-IR-20-189 • CWE-287: Improper Authentication •

CVSS: 9.3EPSS: 0%CPEs: 2EXPL: 0

An improper neutralization of formula elements in a csv file in Fortinet FortiManager version 6.4.3 and below, 6.2.7 and below allows attacker to execute arbitrary commands via crafted IPv4 field in policy name, when exported as excel file and opened unsafely on the victim host. Una neutralización inapropiada de los elementos de la fórmula en un archivo csv en Fortinet FortiManager versión 6.4.3 y por debajo, versión 6.2.7 y por debajo, permite al atacante ejecutar comandos arbitrarios por medio de un campo IPv4 diseñado en el nombre de la política, cuando se exporta como archivo excel y es abierto de forma no segura en el host víctima • https://fortiguard.com/advisory/FG-IR-20-190 • CWE-1236: Improper Neutralization of Formula Elements in a CSV File •

CVSS: 5.4EPSS: 0%CPEs: 6EXPL: 0

Multiple improper neutralization of input during web page generation (CWE-79) in FortiManager and FortiAnalyzer versions 7.0.0, 6.4.5 and below, 6.2.7 and below user interface, may allow a remote authenticated attacker to perform a Stored Cross Site Scripting attack (XSS) by injecting malicious payload in GET parameters. Una neutralización inapropiada de la entrada durante la generación de la página web (CWE-79) en FortiManager y FortiAnalyzer versiones 7.0.0, 6.4.5 y por debajo, 6.2.7 y por debajo de la interfaz de usuario, puede permitir a un atacante remoto autenticado llevar a cabo un ataque de tipo Cross Site Scripting attack (XSS) Almacenado al inyectar una carga útil maliciosa en los parámetros GET • https://fortiguard.com/advisory/FG-IR-21-054 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 1

Use of a hard-coded cryptographic key to encrypt password data in CLI configuration in FortiManager 6.2.3 and below, FortiAnalyzer 6.2.3 and below may allow an attacker with access to the CLI configuration or the CLI backup file to decrypt the sensitive data, via knowledge of the hard-coded key. Un uso de una clave criptográfica embebida para cifrar datos de contraseña en la configuración de la CLI en FortiManager versiones 6.2.3 y posteriores, FortiAnalyzer versiones 6.2.3 y posteriores puede permitir a un atacante con acceso a la configuración de la CLI o al archivo de copia de seguridad de la CLI descifrar los datos confidenciales, por medio del conocimiento de la clave embebida • https://github.com/synacktiv/CVE-2020-9289 https://fortiguard.com/psirt/FG-IR-19-007 • CWE-798: Use of Hard-coded Credentials •