CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-5591 – Fortinet FortiOS Default Configuration Vulnerability
https://notcve.org/view.php?id=CVE-2019-5591
A Default Configuration vulnerability in FortiOS may allow an unauthenticated attacker on the same subnet to intercept sensitive information by impersonating the LDAP server. Una vulnerabilidad de Configuración Predeterminada en FortiOS puede permitir a un atacante no autenticado en la misma subred interceptar información confidencial al hacerse pasar por el servidor LDAP. Fortinet FortiOS contains a default configuration vulnerability that may allow an unauthenticated attacker on the same subnet to intercept sensitive information by impersonating the Lightweight Directory Access Protocol (LDAP) server. • https://www.fortiguard.com/psirt/FG-IR-19-037 • CWE-306: Missing Authentication for Critical Function •
CVSS: 9.8EPSS: 2%CPEs: 3EXPL: 0CVE-2020-12812 – Fortinet FortiOS SSL VPN Improper Authentication Vulnerability
https://notcve.org/view.php?id=CVE-2020-12812
An improper authentication vulnerability in SSL VPN in FortiOS 6.4.0, 6.2.0 to 6.2.3, 6.0.9 and below may result in a user being able to log in successfully without being prompted for the second factor of authentication (FortiToken) if they changed the case of their username. Una vulnerabilidad de autenticación inapropiada en SSL VPN en FortiOS versiones 6.4.0, 6.2.0 a 6.2.3, 6.0.9 y posteriores, puede resultar en que un usuario sea capaz de iniciar sesión con éxito sin que sea requerido el segundo factor de autenticación (FortiToken) si cambiaron el caso de su nombre de usuario Fortinet FortiOS SSL VPN contains an improper authentication vulnerability that may allow a user to login successfully without being prompted for the second factor of authentication (FortiToken) if they change the case in their username. • https://fortiguard.com/psirt/FG-IR-19-283 • CWE-178: Improper Handling of Case Sensitivity CWE-287: Improper Authentication •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-17655
https://notcve.org/view.php?id=CVE-2019-17655
A cleartext storage in a file or on disk (CWE-313) vulnerability in FortiOS SSL VPN 6.2.0 through 6.2.2, 6.0.9 and earlier and FortiProxy 2.0.0, 1.2.9 and earlier may allow an attacker to retrieve a logged-in SSL VPN user's credentials should that attacker be able to read the session file stored on the targeted device's system. Una vulnerabilidad de almacenamiento de texto claro en un archivo o en el disco (CWE-313) en FortiOS SSL VPN versión 6.2.0 hasta la versión 6.2.2, versión 6.0.9 y anteriores y FortiProxy versión 2.0.0, versión 1.2.9 y anteriores puede permitir que un atacante recupere las credenciales de un usuario de SSL VPN que haya iniciado sesión en caso de que dicho atacante pueda leer el archivo de sesión almacenado en el sistema del dispositivo objetivo • https://fortiguard.com/psirt/FG-IR-19-217 https://fortiguard.com/psirt/FG-IR-20-224 • CWE-312: Cleartext Storage of Sensitive Information •
CVSS: 6.1EPSS: 0%CPEs: 3EXPL: 0CVE-2019-6696
https://notcve.org/view.php?id=CVE-2019-6696
An improper input validation vulnerability in FortiOS 6.2.1, 6.2.0, 6.0.8 and below until 5.4.0 under admin webUI may allow an attacker to perform an URL redirect attack via a specifically crafted request to the admin initial password change webpage. Una vulnerabilidad de comprobación de entrada inapropiada en FortiOS versiones 6.2.1, 6.2.0, 6.0.8 y por debajo hasta 5.4.0, bajo la Interfaz de Usuario Web de administración puede permitir a un atacante llevar a cabo un ataque de redireccionamiento de URL por medio de una petición específicamente diseñada para la página web de cambio de contraseña inicial del administrador. • https://fortiguard.com/psirt/FG-IR-19-179 • CWE-20: Improper Input Validation CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •
CVSS: 5.5EPSS: 0%CPEs: 3EXPL: 0CVE-2019-5593
https://notcve.org/view.php?id=CVE-2019-5593
Improper permission or value checking in the CLI console may allow a non-privileged user to obtain Fortinet FortiOS plaint text private keys of system's builtin local certificates via unsetting the keys encryption password in FortiOS 6.2.0, 6.0.0 to 6.0.6, 5.6.10 and below or for user uploaded local certificates via setting an empty password in FortiOS 6.2.1, 6.2.0, 6.0.6 and below. Una comprobación inapropiada de permisos o valores en la consola de la CLI puede permitir a un usuario no privilegiado obtener claves privadas en texto plano de Fortinet FortiOS de los certificados locales incorporados del sistema mediante la desconfiguración de la contraseña de cifrado de claves en FortiOS versión 6.2.0, versiones 6.0.0 hasta 6.0.6, y versiones 5.6.10 y por debajo, o por un usuario que cargó certificados locales mediante la configuración de una contraseña vacía en FortiOS versiones 6.2.1, 6.2.0, y versiones 6.0.6 y por debajo. • https://fortiguard.com/psirt/FG-IR-19-134 • CWE-755: Improper Handling of Exceptional Conditions •