CVSS: 5.3EPSS: 0%CPEs: 3EXPL: 0CVE-2017-14185
https://notcve.org/view.php?id=CVE-2017-14185
An Information Disclosure vulnerability in Fortinet FortiOS 5.6.0 to 5.6.2, 5.4.0 to 5.4.8 and 5.2 all versions allows SSL VPN web portal users to access internal FortiOS configuration information (eg:addresses) via specifically crafted URLs inside the SSL-VPN web portal. Una vulnerabilidad de fuga de información en Fortinet FortiOS, de la versión 5.6.0 a la 5.6.2, de la 5.4.0 a la 5.4.8 y todas las versiones de 5.2, permite que usuarios del portal web SSL VPN accedan a información de configuración interna de FortiOS (por ejemplo, a las direcciones) mediante URL especialmente manipuladas dentro del portal web SSL-VPN. • http://www.securityfocus.com/bid/104288 https://fortiguard.com/advisory/FG-IR-17-231 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 7.2EPSS: 0%CPEs: 3EXPL: 0CVE-2017-14187
https://notcve.org/view.php?id=CVE-2017-14187
A local privilege escalation and local code execution vulnerability in Fortinet FortiOS 5.6.0 to 5.6.2, 5.4.0 to 5.4.8, and 5.2 and below versions allows attacker to execute unauthorized binary program contained on an USB drive plugged into a FortiGate via linking the aforementioned binary program to a command that is allowed to be run by the fnsysctl CLI command. Una vulnerabilidad de escalado de privilegios local y ejecución de código local en Fortinet FortiOS, de la versión 5.6.0 hasta la 5.6.2, de la versión 5.4.0 hasta la 5.4.8 y en versiones 5.2 y anteriores, permite que un atacante ejecute un programa binario no autorizado en una memoria USB conectada en un FortiGate enlazando dicho programa binario con un comando que puede ser ejecutado por el comando fnsysctl de la interfaz de línea de comandos. • http://www.securityfocus.com/bid/104312 http://www.securitytracker.com/id/1040983 https://fortiguard.com/advisory/FG-IR-17-245 • CWE-269: Improper Privilege Management •
CVSS: 10.0EPSS: 0%CPEs: 2EXPL: 0CVE-2017-17539
https://notcve.org/view.php?id=CVE-2017-17539
The presence of a hardcoded account in Fortinet FortiWLC 7.0.11 and earlier allows attackers to gain unauthorized read/write access via a remote shell. La presencia de una cuenta embebida en Fortinet FortiWLC en versiones 7.0.11 y anteriores permite que atacantes obtengan acceso de lectura/escritura mediante un shell remoto. • http://www.securityfocus.com/bid/104119 https://fortiguard.com/advisory/FG-IR-17-274 • CWE-798: Use of Hard-coded Credentials •
CVSS: 10.0EPSS: 0%CPEs: 2EXPL: 0CVE-2017-17540
https://notcve.org/view.php?id=CVE-2017-17540
The presence of a hardcoded account in Fortinet FortiWLC 8.3.3 allows attackers to gain unauthorized read/write access via a remote shell. La presencia de una cuenta embebida en Fortinet FortiWLC 8.3.3 permite que atacantes obtengan acceso de lectura/escritura mediante un shell remoto. • http://www.securityfocus.com/bid/104119 https://fortiguard.com/advisory/FG-IR-17-274 • CWE-798: Use of Hard-coded Credentials •
CVSS: 7.5EPSS: 0%CPEs: 3EXPL: 0CVE-2017-17543
https://notcve.org/view.php?id=CVE-2017-17543
Users' VPN authentication credentials are unsafely encrypted in Fortinet FortiClient for Windows 5.6.0 and below versions, FortiClient for Mac OSX 5.6.0 and below versions and FortiClient SSLVPN Client for Linux 4.4.2335 and below versions, due to the use of a static encryption key and weak encryption algorithms. Las credenciales de autenticación de VPN de los usuarios se cifran de manera no segura en Fortinet FortiClient para Windows en versiones 5.6.0 y anteriores, FortiClient para Mac OSX en versiones 5.6.0 y anteriores y FortiClient SSLVPN Client para Linux en versiones 4.4.2335 y anteriores, debido a la uso de una clave de cifrado estático y algoritmos de cifrado débiles. • https://fortiguard.com/advisory/FG-IR-17-214 • CWE-326: Inadequate Encryption Strength •