Page 11 of 64 results (0.005 seconds)

CVSS: 5.4EPSS: 0%CPEs: 6EXPL: 0

Multiple improper neutralization of input during web page generation (CWE-79) in FortiManager and FortiAnalyzer versions 7.0.0, 6.4.5 and below, 6.2.7 and below user interface, may allow a remote authenticated attacker to perform a Stored Cross Site Scripting attack (XSS) by injecting malicious payload in GET parameters. Una neutralización inapropiada de la entrada durante la generación de la página web (CWE-79) en FortiManager y FortiAnalyzer versiones 7.0.0, 6.4.5 y por debajo, 6.2.7 y por debajo de la interfaz de usuario, puede permitir a un atacante remoto autenticado llevar a cabo un ataque de tipo Cross Site Scripting attack (XSS) Almacenado al inyectar una carga útil maliciosa en los parámetros GET • https://fortiguard.com/advisory/FG-IR-21-054 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 8.8EPSS: 0%CPEs: 6EXPL: 0

A server-side request forgery (SSRF) (CWE-918) vulnerability in FortiManager and FortiAnalyser GUI 7.0.0, 6.4.5 and below, 6.2.7 and below, 6.0.11 and below, 5.6.11 and below may allow a remote and authenticated attacker to access unauthorized files and services on the system via specifically crafted web requests. Una vulnerabilidad de tipo server-side request forgery (SSRF) (CWE-918) en FortiManager y FortiAnalyser GUI versiones 7.0.0, versiones 6.4.5 y por debajo, versiones 6.2.7 y por debajo, versiones 6.0.11 y por debajo, versiones 5.6.11 y por debajo puede permitir a un atacante remoto autenticado acceder a archivos y servicios no autorizados en el sistema por medio de peticiones web específicamente diseñadas • https://fortiguard.com/advisory/FG-IR-21-050 • CWE-918: Server-Side Request Forgery (SSRF) •

CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0

An improper neutralization of CRLF sequences in HTTP headers ('HTTP Response Splitting') vulnerability In FortiManager and FortiAnalyzer GUI 7.0.0, 6.4.6 and below, 6.2.8 and below, 6.0.11 and below, 5.6.11 and below may allow an authenticated and remote attacker to perform an HTTP request splitting attack which gives attackers control of the remaining headers and body of the response. Una vulnerabilidad de neutralización inapropiada de las secuencias CRLF en los encabezados HTTP ("HTTP Response Splitting") En FortiManager y FortiAnalyzer GUI versiones 7.0.0, 6.4.6 y por debajo, versiones 6.2.8 y por debajo, versiones 6.0.11 y por debajo, versiones 5.6.11 y por debajo puede permitir a un atacante remoto autenticado llevar a cabo un ataque de división de peticiones HTTP que da a atacantes el control de los encabezados restantes y del cuerpo de la respuesta • https://fortiguard.com/advisory/FG-IR-21-063 • CWE-444: Inconsistent Interpretation of HTTP Requests ('HTTP Request/Response Smuggling') •

CVSS: 6.7EPSS: 0%CPEs: 4EXPL: 0

A buffer overflow vulnerability in FortiAnalyzer CLI 6.4.5 and below, 6.2.7 and below, 6.0.x and FortiManager CLI 6.4.5 and below, 6.2.7 and below, 6.0.x may allow an authenticated, local attacker to perform a Denial of Service attack by running the `diagnose system geoip-city` command with a large ip value. Una vulnerabilidad de desbordamiento de búfer en FortiAnalyzer CLI versiones 6.4.5 y posteriores, versiones 6.2.7 y posteriores, versiones 6.0.x y FortiManager CLI versiones 6.4.5 y posteriores, 6.2.7 y posteriores, 6.0.x, puede permitir a un atacante local autenticado llevar a cabo un ataque de Denegación de Servicio al ejecutar el comando "diagnose system geoip-city" con un valor de ip grande • https://fortiguard.com/advisory/FG-IR-20-194 • CWE-120: Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') •

CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0

An improper neutralization of script-related HTML tags in a web page in FortiManager 6.2.0, 6.2.1, 6.2.2, and 6.2.3and FortiAnalyzer 6.2.0, 6.2.1, 6.2.2, and 6.2.3 may allow an attacker to execute a cross site scripting (XSS) via the Identify Provider name field. Una neutralización incorrecta de las etiquetas HTML relacionadas con script en una página web en FortiManager versiones 6.2.0, 6.2.1, 6.2.2 y 6.2.3 y FortiAnalyzer versiones 6.2.0, 6.2.1, 6.2.2 y 6.2.3, puede permitir a un atacante ejecutar un cross site scripting (XSS) por medio del campo de nombre Identify Provider. • https://fortiguard.com/advisory/FG-IR-20-005 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •