CVSS: 9.0EPSS: 0%CPEs: 4EXPL: 0CVE-2021-44171
https://notcve.org/view.php?id=CVE-2021-44171
A improper neutralization of special elements used in an os command ('os command injection') in Fortinet FortiOS version 6.0.0 through 6.0.14, FortiOS version 6.2.0 through 6.2.10, FortiOS version 6.4.0 through 6.4.8, FortiOS version 7.0.0 through 7.0.3 allows attacker to execute privileged commands on a linked FortiSwitch via diagnostic CLI commands. Una neutralización inapropiada de los elementos especiales usados en un comando os ("inyección de comando de os") en Fortinet FortiOS versión 6.0.0 hasta 6.0.14, FortiOS versión 6.2.0 hasta 6.2.10, FortiOS versión 6.4.0 hasta 6.4.8, FortiOS versión 7.0.0 hasta 7.0.3, permite a un atacante ejecutar comandos privilegiados en un FortiSwitch vinculado por medio de comandos CLI de diagnóstico • https://fortiguard.com/psirt/FG-IR-21-242 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 5.4EPSS: 0%CPEs: 3EXPL: 0CVE-2021-43080
https://notcve.org/view.php?id=CVE-2021-43080
An improper neutralization of input during web page generation vulnerability [CWE-79] in FortiOS version 7.2.0, version 6.4.0 through 6.4.9, version 7.0.0 through 7.0.5 may allow an authenticated attacker to perform a stored cross site scripting (XSS) attack through the URI parameter via the Threat Feed IP address section of the Security Fabric External connectors. Una vulnerabilidad de neutralización inapropiada de la entrada durante la generación de páginas web [CWE-79] en FortiOS versión 7.2.0, versiones 6.4.0 hasta 6.4.9, versiones 7.0.0 hasta 7.0.5, puede permitir a un atacante autenticado llevar a cabo un ataque de tipo cross-site scripting (XSS) almacenado mediante el parámetro URI por medio de la sección de dirección IP de Threat Feed de los conectores externos de Security Fabric. • https://fortiguard.com/psirt/FG-IR-21-222 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 3.3EPSS: 0%CPEs: 5EXPL: 0CVE-2022-29053
https://notcve.org/view.php?id=CVE-2022-29053
A missing cryptographic steps vulnerability [CWE-325] in the functions that encrypt the keytab files in FortiOS version 7.2.0, 7.0.0 through 7.0.5 and below 7.0.0 may allow an attacker in possession of the encrypted file to decipher it. Una vulnerabilidad de pasos criptográficos faltantes [CWE-325] en las funciones que cifran los archivos keytab en FortiOS versiones 7.2.0, 7.0.0 hasta 7.0.5 y anteriores a 7.0.0, puede permitir a un atacante en posesión del archivo cifrado descifrarlo. • https://fortiguard.com/psirt/FG-IR-22-158 •
CVSS: 7.5EPSS: 0%CPEs: 5EXPL: 0CVE-2022-27491
https://notcve.org/view.php?id=CVE-2022-27491
A improper verification of source of a communication channel in Fortinet FortiOS with IPS engine version 7.201 through 7.214, 7.001 through 7.113, 6.001 through 6.121, 5.001 through 5.258 and before 4.086 allows a remote and unauthenticated attacker to trigger the sending of "blocked page" HTML data to an arbitrary victim via crafted TCP requests, potentially flooding the victim. Una verificación inapropiada de la fuente de un canal de comunicación en Fortinet FortiOS con motor IPS versiones 7.201 hasta 7.214, 7.001 hasta 7.113, 6.001 hasta 6.121, 5.001 hasta 5.258 y anteriores a 4.086, permite a un atacante remoto y no autenticado desencadenar el envío de datos HTML "blocked page" a una víctima arbitraria por medio de peticiones TCP diseñadas, inundando potencialmente a la víctima. • https://fortiguard.com/psirt/FG-IR-22-073 •
CVSS: 7.8EPSS: 0%CPEs: 20EXPL: 0CVE-2022-22299
https://notcve.org/view.php?id=CVE-2022-22299
A format string vulnerability [CWE-134] in the command line interpreter of FortiADC version 6.0.0 through 6.0.4, FortiADC version 6.1.0 through 6.1.5, FortiADC version 6.2.0 through 6.2.1, FortiProxy version 1.0.0 through 1.0.7, FortiProxy version 1.1.0 through 1.1.6, FortiProxy version 1.2.0 through 1.2.13, FortiProxy version 2.0.0 through 2.0.7, FortiProxy version 7.0.0 through 7.0.1, FortiOS version 6.0.0 through 6.0.14, FortiOS version 6.2.0 through 6.2.10, FortiOS version 6.4.0 through 6.4.8, FortiOS version 7.0.0 through 7.0.2, FortiMail version 6.4.0 through 6.4.5, FortiMail version 7.0.0 through 7.0.2 may allow an authenticated user to execute unauthorized code or commands via specially crafted command arguments. Una vulnerabilidad de cadena de formato [CWE-134] en el intérprete de línea de comandos de FortiADC versión 6.0.0 hasta 6.0.4, FortiADC versión 6.1.0 hasta 6.1.5, FortiADC versión 6.2.0 hasta 6.2.1, FortiProxy versión 1.0.0 hasta 1.0.7, FortiProxy versión 1.1.0 hasta 1.1.6, FortiProxy versión 1.2.0 hasta 1.2.13, FortiProxy versión 2.0.0 hasta 2.0.7, FortiProxy versión 7. 0.0 a 7.0.1, FortiOS versión 6.0.0 hasta 6.0.14, FortiOS versión 6.2.0 hasta 6.2.10, FortiOS versión 6.4.0 hasta 6.4.8, FortiOS versión 7.0.0 hasta 7.0.2, FortiMail versión 6.4.0 hasta 6.4.5, FortiMail versión 7.0.0 hasta 7.0.2, pueden permitir a un usuario autenticado ejecutar código o comandos no autorizados por medio de argumentos de comando especialmente diseñados • https://fortiguard.com/psirt/FG-IR-21-235 • CWE-134: Use of Externally-Controlled Format String •