CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2019-17651
https://notcve.org/view.php?id=CVE-2019-17651
An Improper Neutralization of Input vulnerability in the description and title parameters of a Device Maintenance Schedule in FortiSIEM version 5.2.5 and below may allow a remote authenticated attacker to perform a Stored Cross Site Scripting attack (XSS) by injecting malicious JavaScript code into the description field of a Device Maintenance schedule. Una vulnerabilidad de Neutralización Inadecuada de Entrada en los parámetros description y title de un Programa de Mantenimiento de Dispositivo en FortiSIEM versión 5.2.5 y por debajo, puede permitir a un atacante autenticado remoto llevar a cabo un ataque de tipo Cross Site Scripting (XSS) Almacenado mediante la inyección de código JavaScript malicioso en el campo description de un programa de Mantenimiento de Dispositivo. • https://fortiguard.com/psirt/FG-IR-19-197 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.9EPSS: 0%CPEs: 3EXPL: 0CVE-2019-15707
https://notcve.org/view.php?id=CVE-2019-15707
An improper access control vulnerability in FortiMail admin webUI 6.2.0, 6.0.0 to 6.0.6, 5.4.10 and below may allow administrators to perform system backup config download they should not be authorized for. Una vulnerabilidad de control de acceso inapropiado en la Interfaz de Usuario Web del administrador de FortiMail versiones 6.2.0, 6.0.0 hasta 6.0.6, 5.4.10 y posteriores, puede permitir a administradores llevar a cabo descargas de la configuración de respaldo del sistema, a la que no deberían estar autorizados. • https://fortiguard.com/advisory/FG-IR-19-237 •
CVSS: 7.2EPSS: 0%CPEs: 3EXPL: 0CVE-2019-15712
https://notcve.org/view.php?id=CVE-2019-15712
An improper access control vulnerability in FortiMail admin webUI 6.2.0, 6.0.0 to 6.0.6, 5.4.10 and below may allow administrators to access web console they should not be authorized for. Una vulnerabilidad de control de acceso inapropiado en la Interfaz de Usuario Web del administrador de FortiMail versiones 6.2.0, 6.0.0 hasta 6.0.6, 5.4.10 y posteriores, puede permitir a administradores acceder a la consola web, a la que no deberían estar autorizados. • https://fortiguard.com/advisory/FG-IR-19-237 •
CVSS: 5.5EPSS: 0%CPEs: 3EXPL: 0CVE-2019-5593
https://notcve.org/view.php?id=CVE-2019-5593
Improper permission or value checking in the CLI console may allow a non-privileged user to obtain Fortinet FortiOS plaint text private keys of system's builtin local certificates via unsetting the keys encryption password in FortiOS 6.2.0, 6.0.0 to 6.0.6, 5.6.10 and below or for user uploaded local certificates via setting an empty password in FortiOS 6.2.1, 6.2.0, 6.0.6 and below. Una comprobación inapropiada de permisos o valores en la consola de la CLI puede permitir a un usuario no privilegiado obtener claves privadas en texto plano de Fortinet FortiOS de los certificados locales incorporados del sistema mediante la desconfiguración de la contraseña de cifrado de claves en FortiOS versión 6.2.0, versiones 6.0.0 hasta 6.0.6, y versiones 5.6.10 y por debajo, o por un usuario que cargó certificados locales mediante la configuración de una contraseña vacía en FortiOS versiones 6.2.1, 6.2.0, y versiones 6.0.6 y por debajo. • https://fortiguard.com/psirt/FG-IR-19-134 • CWE-755: Improper Handling of Exceptional Conditions •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2019-16153
https://notcve.org/view.php?id=CVE-2019-16153
A hard-coded password vulnerability in the Fortinet FortiSIEM database component version 5.2.5 and below may allow attackers to access the device database via the use of static credentials. Una vulnerabilidad de contraseña embebida en el componente base de datos de Fortinet FortiSIEM versión 5.2.5 y por debajo, puede permitir a atacantes acceder a la base de datos del dispositivo mediante el uso de credenciales estáticas. • https://fortiguard.com/advisory/FG-IR-19-195 • CWE-798: Use of Hard-coded Credentials •