CVSS: 6.1EPSS: 0%CPEs: 31EXPL: 0CVE-2017-3125
https://notcve.org/view.php?id=CVE-2017-3125
An unauthenticated XSS vulnerability with FortiMail 5.0.0 - 5.2.9 and 5.3.0 - 5.3.8 could allow an attacker to execute arbitrary scripts in the security context of the browser of a victim logged in FortiMail, assuming the victim is social engineered into clicking an URL crafted by the attacker. Una vulnerabilidad XSS no autenticada con FortiMail 5.0.0 - 5.2.9 y 5.3.0 - 5.3.8 podría permitir a un atacante ejecutar secuencias de comandos arbitrarias en el contexto de seguridad del navegador de una víctima registrada en FortiMail, asumiendo que la víctima ha sido manipulada mediante ingeniería social para hacer clic en una URL manipulada por el atacante. • http://fortiguard.com/psirt/FG-IR-17-011 http://www.securityfocus.com/bid/97474 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.9EPSS: 0%CPEs: 26EXPL: 0CVE-2016-7541
https://notcve.org/view.php?id=CVE-2016-7541
Long lived sessions in Fortinet FortiGate devices with FortiOS 5.x before 5.4.0 could violate a security policy during IPS signature updates when the FortiGate's IPSengine is configured in flow mode. All FortiGate versions with IPS configured in proxy mode (the default mode) are not affected. Las sesiones de larga duración en dispositivos Fortinet FortiGate con FortiOS 5.x en versiones anteriores a 5.4.0 podría violar una política de seguridad durante las actualizaciones de firmas IPS cuando el IPSengine de FortiGate está configurado en modo de flujo. Todas las versiones FortiGate con IPS configurado en modo proxy (el modo predeterminado) no están afectadas. • http://fortiguard.com/advisory/FG-IR-16-088 http://www.securityfocus.com/bid/94477 • CWE-254: 7PK - Security Features •
CVSS: 4.9EPSS: 0%CPEs: 12EXPL: 0CVE-2016-7542
https://notcve.org/view.php?id=CVE-2016-7542
A read-only administrator on Fortinet devices with FortiOS 5.2.x before 5.2.10 GA and 5.4.x before 5.4.2 GA may have access to read-write administrators password hashes (not including super-admins) stored on the appliance via the webui REST API, and may therefore be able to crack them. Un administrador de sólo lectura en dispositivos Fortinet con FortiOS 5.2.x en versiones anteriores a 5.2.10 GA y FortiOS 5.4.x en versiones anteriores a 5.4.2 GA puede tener acceso de lectura-escritura a hashes de contraseñas de administradores (no incluyendo super-admins), almacenados en el dispositivo a través de la API Rest webui, y puede por lo tanto ser capaz de romperlo. • http://fortiguard.com/advisory/FG-IR-16-050 http://www.securityfocus.com/bid/94690 http://www.securitytracker.com/id/1037394 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 7.4EPSS: 0%CPEs: 18EXPL: 0CVE-2016-8495
https://notcve.org/view.php?id=CVE-2016-8495
An improper certificate validation vulnerability in Fortinet FortiManager 5.0.6 through 5.2.7 and 5.4.0 through 5.4.1 allows remote attacker to spoof a trusted entity by using a man-in-the-middle (MITM) attack via the Fortisandbox devices probing feature. Una vulnerabilidad de validación de certificado incorrecto en Fortinet FortiManager 5.0.6 hasta la versión 5.2.7 y 5.4.0 hasta la versión 5.4.1 permite a atacantes remotos suplantar una entidad de confianza utilizando un ataque man-in-the-middle (MITM) a través de la funcionalidad de sondeo de dispositivos Fortisandbox. • http://www.securityfocus.com/bid/96157 http://www.securitytracker.com/id/1037805 https://fortiguard.com/advisory/FG-IR-16-055 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 7.2EPSS: 0%CPEs: 4EXPL: 0CVE-2016-8494
https://notcve.org/view.php?id=CVE-2016-8494
Insufficient verification of uploaded files allows attackers with webui administrators privileges to perform arbitrary code execution by uploading a new webui theme. Verificación insuficiente de archivos cargados permite a atacantes con privilegios de administradores de webui realizar ejecución de código arbitrario cargando un nuevo tema webui. • http://www.securityfocus.com/bid/96159 https://fortiguard.com/advisory/FG-IR-16-080 • CWE-264: Permissions, Privileges, and Access Controls •