Page 13 of 68 results (0.004 seconds)

CVSS: 9.8EPSS: 2%CPEs: 3EXPL: 0

An improper authentication vulnerability in SSL VPN in FortiOS 6.4.0, 6.2.0 to 6.2.3, 6.0.9 and below may result in a user being able to log in successfully without being prompted for the second factor of authentication (FortiToken) if they changed the case of their username. Una vulnerabilidad de autenticación inapropiada en SSL VPN en FortiOS versiones 6.4.0, 6.2.0 a 6.2.3, 6.0.9 y posteriores, puede resultar en que un usuario sea capaz de iniciar sesión con éxito sin que sea requerido el segundo factor de autenticación (FortiToken) si cambiaron el caso de su nombre de usuario Fortinet FortiOS SSL VPN contains an improper authentication vulnerability that may allow a user to login successfully without being prompted for the second factor of authentication (FortiToken) if they change the case in their username. • https://fortiguard.com/psirt/FG-IR-19-283 • CWE-178: Improper Handling of Case Sensitivity CWE-287: Improper Authentication •

CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0

A cleartext storage in a file or on disk (CWE-313) vulnerability in FortiOS SSL VPN 6.2.0 through 6.2.2, 6.0.9 and earlier and FortiProxy 2.0.0, 1.2.9 and earlier may allow an attacker to retrieve a logged-in SSL VPN user's credentials should that attacker be able to read the session file stored on the targeted device's system. Una vulnerabilidad de almacenamiento de texto claro en un archivo o en el disco (CWE-313) en FortiOS SSL VPN versión 6.2.0 hasta la versión 6.2.2, versión 6.0.9 y anteriores y FortiProxy versión 2.0.0, versión 1.2.9 y anteriores puede permitir que un atacante recupere las credenciales de un usuario de SSL VPN que haya iniciado sesión en caso de que dicho atacante pueda leer el archivo de sesión almacenado en el sistema del dispositivo objetivo • https://fortiguard.com/psirt/FG-IR-19-217 https://fortiguard.com/psirt/FG-IR-20-224 • CWE-312: Cleartext Storage of Sensitive Information •

CVSS: 6.1EPSS: 0%CPEs: 3EXPL: 0

An improper input validation vulnerability in FortiOS 6.2.1, 6.2.0, 6.0.8 and below until 5.4.0 under admin webUI may allow an attacker to perform an URL redirect attack via a specifically crafted request to the admin initial password change webpage. Una vulnerabilidad de comprobación de entrada inapropiada en FortiOS versiones 6.2.1, 6.2.0, 6.0.8 y por debajo hasta 5.4.0, bajo la Interfaz de Usuario Web de administración puede permitir a un atacante llevar a cabo un ataque de redireccionamiento de URL por medio de una petición específicamente diseñada para la página web de cambio de contraseña inicial del administrador. • https://fortiguard.com/psirt/FG-IR-19-179 • CWE-20: Improper Input Validation CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •

CVSS: 5.5EPSS: 0%CPEs: 3EXPL: 0

Improper permission or value checking in the CLI console may allow a non-privileged user to obtain Fortinet FortiOS plaint text private keys of system's builtin local certificates via unsetting the keys encryption password in FortiOS 6.2.0, 6.0.0 to 6.0.6, 5.6.10 and below or for user uploaded local certificates via setting an empty password in FortiOS 6.2.1, 6.2.0, 6.0.6 and below. Una comprobación inapropiada de permisos o valores en la consola de la CLI puede permitir a un usuario no privilegiado obtener claves privadas en texto plano de Fortinet FortiOS de los certificados locales incorporados del sistema mediante la desconfiguración de la contraseña de cifrado de claves en FortiOS versión 6.2.0, versiones 6.0.0 hasta 6.0.6, y versiones 5.6.10 y por debajo, o por un usuario que cargó certificados locales mediante la configuración de una contraseña vacía en FortiOS versiones 6.2.1, 6.2.0, y versiones 6.0.6 y por debajo. • https://fortiguard.com/psirt/FG-IR-19-134 • CWE-755: Improper Handling of Exceptional Conditions •

CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0

An Improper Input Validation vulnerability in the SSL VPN portal of FortiOS versions 6.2.1 and below, and 6.0.6 and below may allow an unauthenticated remote attacker to crash the SSL VPN service by sending a crafted POST request. Una vulnerabilidad de Comprobación de Entrada Inapropiada en el portal VPN SSL de FortiOS versiones 6.2.1 y posteriores, y versiones 6.0.6 y posteriores, puede permitir a un atacante remoto no identificado bloquear el servicio VPN SSL enviando una petición POST especialmente diseñada. • https://fortiguard.com/advisory/FG-IR-19-236 • CWE-20: Improper Input Validation •