CVSS: 5.3EPSS: 0%CPEs: 36EXPL: 0CVE-2020-12818
https://notcve.org/view.php?id=CVE-2020-12818
An insufficient logging vulnerability in FortiGate before 6.4.1 may allow the traffic from an unauthenticated attacker to Fortinet owned IP addresses to go unnoticed. Una vulnerabilidad de registro insuficiente en FortiGate versiones anteriores a 6.4.1, puede permitir que el tráfico de un atacante no autenticado hacia direcciones IP propiedad de Fortinet pase desapercibido. • https://fortiguard.com/advisory/FG-IR-20-033 https://www.fortiguard.com/psirt/FG-IR-20-033 •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-12816
https://notcve.org/view.php?id=CVE-2020-12816
An improper neutralization of input vulnerability in FortiNAC before 8.7.2 may allow a remote authenticated attacker to perform a stored cross site scripting attack (XSS) via the UserID of Admin Users. Una vulnerabilidad de neutralización inapropiada de la entrada en FortiNAC versiones anteriores a 8.7.2, puede permitir a un atacante autenticado remoto llevar a cabo un ataque de tipo cross site scripting (XSS) almacenado por medio de un UserID de Usuarios Administradores. • https://fortiguard.com/advisory/FG-IR-20-002 https://www.fortiguard.com/psirt/FG-IR-20-002 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-5591 – Fortinet FortiOS Default Configuration Vulnerability
https://notcve.org/view.php?id=CVE-2019-5591
A Default Configuration vulnerability in FortiOS may allow an unauthenticated attacker on the same subnet to intercept sensitive information by impersonating the LDAP server. Una vulnerabilidad de Configuración Predeterminada en FortiOS puede permitir a un atacante no autenticado en la misma subred interceptar información confidencial al hacerse pasar por el servidor LDAP. Fortinet FortiOS contains a default configuration vulnerability that may allow an unauthenticated attacker on the same subnet to intercept sensitive information by impersonating the Lightweight Directory Access Protocol (LDAP) server. • https://www.fortiguard.com/psirt/FG-IR-19-037 • CWE-306: Missing Authentication for Critical Function •
CVSS: 9.8EPSS: 2%CPEs: 3EXPL: 0CVE-2020-12812 – Fortinet FortiOS SSL VPN Improper Authentication Vulnerability
https://notcve.org/view.php?id=CVE-2020-12812
An improper authentication vulnerability in SSL VPN in FortiOS 6.4.0, 6.2.0 to 6.2.3, 6.0.9 and below may result in a user being able to log in successfully without being prompted for the second factor of authentication (FortiToken) if they changed the case of their username. Una vulnerabilidad de autenticación inapropiada en SSL VPN en FortiOS versiones 6.4.0, 6.2.0 a 6.2.3, 6.0.9 y posteriores, puede resultar en que un usuario sea capaz de iniciar sesión con éxito sin que sea requerido el segundo factor de autenticación (FortiToken) si cambiaron el caso de su nombre de usuario Fortinet FortiOS SSL VPN contains an improper authentication vulnerability that may allow a user to login successfully without being prompted for the second factor of authentication (FortiToken) if they change the case in their username. • https://fortiguard.com/psirt/FG-IR-19-283 • CWE-178: Improper Handling of Case Sensitivity CWE-287: Improper Authentication •
CVSS: 8.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-6644
https://notcve.org/view.php?id=CVE-2020-6644
An insufficient session expiration vulnerability in FortiDeceptor 3.0.0 and below allows an attacker to reuse the unexpired admin user session IDs to gain admin privileges, should the attacker be able to obtain that session ID via other, hypothetical attacks. Una vulnerabilidad de expiración de sesión insuficiente en FortiDeceptor versiones 3.0.0 y posteriores, permite a un atacante reutilizar los ID de sesión de usuario administrador no vencidos para obtener privilegios de administrador, en caso de que el atacante sea capaz de obtener ese ID de sesión por medio de otros ataques hipotéticos • https://fortiguard.com/advisory/FG-IR-20-006 • CWE-613: Insufficient Session Expiration •