CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 1CVE-2020-9289
https://notcve.org/view.php?id=CVE-2020-9289
Use of a hard-coded cryptographic key to encrypt password data in CLI configuration in FortiManager 6.2.3 and below, FortiAnalyzer 6.2.3 and below may allow an attacker with access to the CLI configuration or the CLI backup file to decrypt the sensitive data, via knowledge of the hard-coded key. Un uso de una clave criptográfica embebida para cifrar datos de contraseña en la configuración de la CLI en FortiManager versiones 6.2.3 y posteriores, FortiAnalyzer versiones 6.2.3 y posteriores puede permitir a un atacante con acceso a la configuración de la CLI o al archivo de copia de seguridad de la CLI descifrar los datos confidenciales, por medio del conocimiento de la clave embebida • https://github.com/synacktiv/CVE-2020-9289 https://fortiguard.com/psirt/FG-IR-19-007 • CWE-798: Use of Hard-coded Credentials •
CVSS: 7.5EPSS: 0%CPEs: 7EXPL: 0CVE-2019-17657
https://notcve.org/view.php?id=CVE-2019-17657
An Uncontrolled Resource Consumption vulnerability in Fortinet FortiSwitch below 3.6.11, 6.0.6 and 6.2.2, FortiAnalyzer below 6.2.3, FortiManager below 6.2.3 and FortiAP-S/W2 below 6.2.2 may allow an attacker to cause admin webUI denial of service (DoS) via handling special crafted HTTP requests/responses in pieces slowly, as demonstrated by Slow HTTP DoS Attacks. Una vulnerabilidad de Consumo No Controlado de Recursos en Fortinet FortiSwitch por debajo de las versiones 3.6.11, 6.0.6 y 6.2.2, FortiAnalyzer por debajo de las versiones 6.2.3, FortiManager por debajo de las funciones 6.2.3 y FortiAP-S/W2 por debajo de las versiones 6.2.2, puede permitir a un atacante causar una denegación de servicio (DoS) de la Interfaz de Usuario Web Administrativa mediante el manejo de peticiones y respuestas HTTP especialmente diseñadas en partes lentamente, como es demostrado por los Ataques de DoS de HTTP Lento. • https://fortiguard.com/psirt/FG-IR-19-013 • CWE-400: Uncontrolled Resource Consumption •
CVSS: 8.8EPSS: 0%CPEs: 3EXPL: 0CVE-2019-17654
https://notcve.org/view.php?id=CVE-2019-17654
An Insufficient Verification of Data Authenticity vulnerability in FortiManager 6.2.1, 6.2.0, 6.0.6 and below may allow an unauthenticated attacker to perform a Cross-Site WebSocket Hijacking (CSWSH) attack. Una vulnerabilidad de Verificación Insuficiente de la Autenticidad de Datos en FortiManager versiones 6.2.1, 6.2.0, 6.0.6 y por debajo, puede permitir a un atacante no autenticado llevar a cabo un ataque de tipo Cross-Site WebSocket Hijacking (CSWSH). • https://fortiguard.com/psirt/FG-IR-19-191 • CWE-345: Insufficient Verification of Data Authenticity •
CVSS: 10.0EPSS: 0%CPEs: 2EXPL: 0CVE-2019-6695
https://notcve.org/view.php?id=CVE-2019-6695
Lack of root file system integrity checking in Fortinet FortiManager VM application images of 6.2.0, 6.0.6 and below may allow an attacker to implant third-party programs by recreating the image through specific methods. La falta de comprobación de integridad del sistema de archivos raíz en las imágenes de la aplicación Fortinet FortiManager VM de 6.2.0, 6.0.6 y posteriores puede permitir que un atacante implante programas de terceros al recrear la imagen a través de métodos específicos. • https://fortiguard.com/advisory/FG-IR-19-017 • CWE-345: Insufficient Verification of Data Authenticity •
CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0CVE-2018-13375
https://notcve.org/view.php?id=CVE-2018-13375
An Improper Neutralization of Script-Related HTML Tags in Fortinet FortiAnalyzer 5.6.0 and below and FortiManager 5.6.0 and below allows an attacker to send DHCP request containing malicious scripts in the HOSTNAME parameter. The malicious script code is executed while viewing the logs in FortiAnalyzer and FortiManager (with FortiAnalyzer feature enabled). Una neutralización inapropiada de las etiquetas HTML relacionadas con scripting en Fortinet FortiAnalyzer versión 5.6.0 y anteriores y FortiManager versión 5.6.0 y anteriores, permite a un atacante enviar una petición DHCP que contenga scripts maliciosos en el parámetro HOSTNAME. El código script malicioso es ejecutado durante la visualización de los registros en FortiAnalyzer y FortiManager (con la función FortiAnalyzer habilitada). • https://fortiguard.com/advisory/FG-IR-18-121 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •