CVE-2022-23442
https://notcve.org/view.php?id=CVE-2022-23442
An improper access control vulnerability [CWE-284] in FortiOS versions 6.2.0 through 6.2.11, 6.4.0 through 6.4.8 and 7.0.0 through 7.0.5 may allow an authenticated attacker with a restricted user profile to gather the checksum information about the other VDOMs via CLI commands. Una vulnerabilidad de control de acceso inadecuado [CWE-284] en FortiOS versiones 6.2.0 a 6.2.11, 6.4.0 a 6.4.8 y 7.0.0 a 7.0.5, puede permitir a un atacante autenticado con un perfil de usuario restringido recopilar la información de la suma de comprobación sobre los otros VDOMs por medio de comandos CLI • https://fortiguard.com/psirt/FG-IR-22-036 •
CVE-2022-23438
https://notcve.org/view.php?id=CVE-2022-23438
An improper neutralization of input during web page generation ('Cross-site Scripting') [CWE-79] vulnerability in FortiOS version 7.0.5 and prior and 6.4.9 and prior may allow an unauthenticated remote attacker to perform a reflected cross site scripting (XSS) attack in the captive portal authentication replacement page. Una neutralización inapropiada de la entrada durante la generación de la página web ("Cross-site Scripting") [CWE-79] vulnerabilidad en FortiOS versión 7.0.5 y anteriores y 6.4.9 y anteriores puede permitir a un atacante remoto no autenticado llevar a cabo un ataque de tipo cross site scripting (XSS) reflejado en la página de sustitución de autenticación del portal cautivo • https://fortiguard.com/psirt/FG-IR-21-057 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2021-42755
https://notcve.org/view.php?id=CVE-2021-42755
An integer overflow / wraparound vulnerability [CWE-190] in FortiSwitch 7.0.2 and below, 6.4.9 and below, 6.2.x, 6.0.x; FortiRecorder 6.4.2 and below, 6.0.10 and below; FortiOS 7.0.2 and below, 6.4.8 and below, 6.2.10 and below, 6.0.x; FortiProxy 7.0.0, 2.0.6 and below, 1.2.x, 1.1.x, 1.0.x; FortiVoiceEnterprise 6.4.3 and below, 6.0.10 and below dhcpd daemon may allow an unauthenticated and network adjacent attacker to crash the dhcpd deamon, resulting in potential denial of service. Una vulnerabilidad de desbordamiento de enteros / wraparound [CWE-190] en FortiSwitch versiones 7.0.2 y anteriores, 6.4.9 y anteriores, 6.2.x, 6.0.x; FortiRecorder 6.4.2 y anteriores, 6.0.10 y anteriores; FortiOS 7.0.2 y anteriores, 6.4.8 y anteriores, 6.2.10 y anteriores, 6.0.x; FortiProxy 7. 0.0, 2.0.6 y anteriores, 1.2.x, 1.1.x, 1.0.x; FortiVoiceEnterprise 6.4.3 y anteriores, 6.0.10 y anteriores, dhcpd daemon puede permitir a un atacante no autenticado y adyacente a la red bloquear el dhcpd deamon, resultando en una potencial denegación de servicio • https://fortiguard.com/psirt/FG-IR-21-155 • CWE-190: Integer Overflow or Wraparound •
CVE-2021-44170
https://notcve.org/view.php?id=CVE-2021-44170
A stack-based buffer overflow vulnerability [CWE-121] in the command line interpreter of FortiOS before 7.0.4 and FortiProxy before 2.0.8 may allow an authenticated attacker to execute unauthorized code or commands via specially crafted command line arguments. Una vulnerabilidad de desbordamiento de búfer en la región stack de la memoria [CWE-121] en el intérprete de línea de comandos de FortiOS versiones anteriores a 7.0.4 y FortiProxy versiones anteriores a 2.0.8, puede permitir a un atacante autenticado ejecutar código o comandos no autorizados por medio de argumentos de línea de comandos especialmente diseñados • https://fortiguard.com/psirt/FG-IR-21-179 • CWE-787: Out-of-bounds Write •
CVE-2022-22306
https://notcve.org/view.php?id=CVE-2022-22306
An improper certificate validation vulnerability [CWE-295] in FortiOS 6.0.0 through 6.0.14, 6.2.0 through 6.2.10, 6.4.0 through 6.4.8, 7.0.0 may allow a network adjacent and unauthenticated attacker to man-in-the-middle the communication between the FortiGate and some peers such as private SDNs and external cloud platforms. Una vulnerabilidad de comprobación de certificados inapropiada [CWE-295] en FortiOS versiones 6.0.0 hasta 6.0.14, 6.2.0 hasta 6.2.10, 6.4.0 hasta 6.4.8, 7.0.0 puede permitir a un atacante adyacente a la red y no autenticado interceder en la comunicación entre FortiGate y algunos pares como SDNs privadas y plataformas de nube externas • https://fortiguard.com/psirt/FG-IR-21-239 • CWE-295: Improper Certificate Validation •