CVSS: 8.8EPSS: 0%CPEs: 10EXPL: 0CVE-2022-22300
https://notcve.org/view.php?id=CVE-2022-22300
A improper handling of insufficient permissions or privileges in Fortinet FortiAnalyzer version 5.6.0 through 5.6.11, FortiAnalyzer version 6.0.0 through 6.0.11, FortiAnalyzer version 6.2.0 through 6.2.9, FortiAnalyzer version 6.4.0 through 6.4.7, FortiAnalyzer version 7.0.0 through 7 .0.2, FortiManager version 5.6.0 through 5.6.11, FortiManager version 6.0.0 through 6.0.11, FortiManager version 6.2.0 through 6.2.9, FortiManager version 6.4.0 through 6.4.7, FortiManager version 7.0.0 through 7.0.2 allows attacker to bypass the device policy and force the password-change action for its user. Un manejo inapropiado de permisos o privilegios insuficientes en Fortinet FortiAnalyzer versiones 5.6.0 hasta 5.6.11, FortiAnalyzer versiones 6.0.0 hasta 6.0.11, FortiAnalyzer versiones 6.2.0 hasta 6.2.9, FortiAnalyzer versiones 6.4.0 hasta 6.4.7, FortiAnalyzer versiones 7.0.0 hasta 7 .0. 2, FortiManager versiones 5.6.0 hasta 5.6.11, FortiManager versiones 6.0.0 hasta 6.0.11, FortiManager versiones 6.2.0 hasta 6.2.9, FortiManager versiones 6.4.0 hasta 6.4.7, FortiManager versiones 7.0.0 hasta 7.0.2, permite a un atacante omitir la política del dispositivo y forzar la acción de cambio de contraseña para su usuario. • https://fortiguard.com/psirt/FG-IR-21-255 • CWE-755: Improper Handling of Exceptional Conditions •
CVSS: 3.2EPSS: 0%CPEs: 4EXPL: 0CVE-2021-36170
https://notcve.org/view.php?id=CVE-2021-36170
An information disclosure vulnerability [CWE-200] in FortiAnalyzerVM and FortiManagerVM versions 7.0.0 and 6.4.6 and below may allow an authenticated attacker to read the FortiCloud credentials which were used to activate the trial license in cleartext. Una vulnerabilidad de divulgación de información [CWE-200] en FortiAnalyzerVM y FortiManagerVM versiones 7.0.0 y 6.4.6 y por debajo, puede permitir a un atacante autenticado leer las credenciales de FortiCloud que fueron usadas para activar la licencia de prueba en texto sin cifrar • https://fortiguard.com/advisory/FG-IR-21-112 • CWE-522: Insufficiently Protected Credentials •
CVSS: 4.3EPSS: 0%CPEs: 4EXPL: 0CVE-2021-32587
https://notcve.org/view.php?id=CVE-2021-32587
An improper access control vulnerability in FortiManager and FortiAnalyzer GUI interface 7.0.0, 6.4.5 and below, 6.2.8 and below, 6.0.11 and below, 5.6.11 and below may allow a remote and authenticated attacker with restricted user profile to retrieve the list of administrative users of other ADOMs and their related configuration. Una vulnerabilidad de control de acceso inapropiado en la interfaz GUI de FortiManager y FortiAnalyzer versiones 7.0.0, 6.4.5 e inferiores, 6.2.8 e inferiores, 6.0.11 e inferiores, 5.6.11 e inferiores, puede permitir a un atacante remoto autenticado con perfil de usuario restringido recuperar la lista de usuarios administrativos de otros ADOM y su configuración relacionada. • https://fortiguard.com/advisory/FG-IR-21-059 •
CVSS: 5.4EPSS: 0%CPEs: 6EXPL: 0CVE-2021-32597
https://notcve.org/view.php?id=CVE-2021-32597
Multiple improper neutralization of input during web page generation (CWE-79) in FortiManager and FortiAnalyzer versions 7.0.0, 6.4.5 and below, 6.2.7 and below user interface, may allow a remote authenticated attacker to perform a Stored Cross Site Scripting attack (XSS) by injecting malicious payload in GET parameters. Una neutralización inapropiada de la entrada durante la generación de la página web (CWE-79) en FortiManager y FortiAnalyzer versiones 7.0.0, 6.4.5 y por debajo, 6.2.7 y por debajo de la interfaz de usuario, puede permitir a un atacante remoto autenticado llevar a cabo un ataque de tipo Cross Site Scripting attack (XSS) Almacenado al inyectar una carga útil maliciosa en los parámetros GET • https://fortiguard.com/advisory/FG-IR-21-054 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 6EXPL: 0CVE-2021-32603
https://notcve.org/view.php?id=CVE-2021-32603
A server-side request forgery (SSRF) (CWE-918) vulnerability in FortiManager and FortiAnalyser GUI 7.0.0, 6.4.5 and below, 6.2.7 and below, 6.0.11 and below, 5.6.11 and below may allow a remote and authenticated attacker to access unauthorized files and services on the system via specifically crafted web requests. Una vulnerabilidad de tipo server-side request forgery (SSRF) (CWE-918) en FortiManager y FortiAnalyser GUI versiones 7.0.0, versiones 6.4.5 y por debajo, versiones 6.2.7 y por debajo, versiones 6.0.11 y por debajo, versiones 5.6.11 y por debajo puede permitir a un atacante remoto autenticado acceder a archivos y servicios no autorizados en el sistema por medio de peticiones web específicamente diseñadas • https://fortiguard.com/advisory/FG-IR-21-050 • CWE-918: Server-Side Request Forgery (SSRF) •