CVE-2021-22129
https://notcve.org/view.php?id=CVE-2021-22129
Multiple instances of incorrect calculation of buffer size in the Webmail and Administrative interface of FortiMail before 6.4.5 may allow an authenticated attacker with regular webmail access to trigger a buffer overflow and to possibly execute unauthorized code or commands via specifically crafted HTTP requests. Múltiples instancias de cálculo incorrecto del tamaño del búfer en la interfaz Administrativa y de Correo web de FortiMail versiones anteriores a 6.4.5, pueden permitir a un atacante autenticado con acceso regular al correo web desencadenar un desbordamiento del búfer y posiblemente ejecutar código o comandos no autorizados por medio de peticiones HTTP específicamente diseñadas • https://fortiguard.com/advisory/FG-IR-21-023 • CWE-120: Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') •
CVE-2021-26100
https://notcve.org/view.php?id=CVE-2021-26100
A missing cryptographic step in the Identity-Based Encryption service of FortiMail before 7.0.0 may allow an unauthenticated attacker who intercepts the encrypted messages to manipulate them in such a way that makes the tampering and the recovery of the plaintexts possible. Una falta de paso criptográfico en el servicio Identity-Based Encryption de FortiMail versiones anteriores a 7.0.0, puede permitir a un atacante no autenticado que intercepte los mensajes encriptados manipularlos de tal manera que haga posible la manipulación y la recuperación de textos planos • https://fortiguard.com/advisory/FG-IR-21-003 • CWE-347: Improper Verification of Cryptographic Signature •
CVE-2020-9294 – FortiMail Unauthenticated Login Bypass Scanner
https://notcve.org/view.php?id=CVE-2020-9294
An improper authentication vulnerability in FortiMail 5.4.10, 6.0.7, 6.2.2 and earlier and FortiVoiceEntreprise 6.0.0 and 6.0.1 may allow a remote unauthenticated attacker to access the system as a legitimate user by requesting a password change via the user interface. Una vulnerabilidad de autenticación inapropiada en FortiMail versiones 5.4.10, 6.0.7, 6.2.2 y anteriores y en FortiVoiceEntreprise versiones 6.0.0 y 6.0.1, puede permitir a un atacante remoto no autenticado acceder al sistema como usuario legítimo al solicitar un cambio de contraseña por medio de la interfaz de usuario. • https://fortiguard.com/psirt/FG-IR-20-045 https://www.fortiguard.com/psirt/FG-IR-20-045 https://www.redguard.ch/blog/2020/07/02/fortimail-unauthenticated-login-bypass • CWE-287: Improper Authentication •
CVE-2019-15707
https://notcve.org/view.php?id=CVE-2019-15707
An improper access control vulnerability in FortiMail admin webUI 6.2.0, 6.0.0 to 6.0.6, 5.4.10 and below may allow administrators to perform system backup config download they should not be authorized for. Una vulnerabilidad de control de acceso inapropiado en la Interfaz de Usuario Web del administrador de FortiMail versiones 6.2.0, 6.0.0 hasta 6.0.6, 5.4.10 y posteriores, puede permitir a administradores llevar a cabo descargas de la configuración de respaldo del sistema, a la que no deberían estar autorizados. • https://fortiguard.com/advisory/FG-IR-19-237 •
CVE-2019-15712
https://notcve.org/view.php?id=CVE-2019-15712
An improper access control vulnerability in FortiMail admin webUI 6.2.0, 6.0.0 to 6.0.6, 5.4.10 and below may allow administrators to access web console they should not be authorized for. Una vulnerabilidad de control de acceso inapropiado en la Interfaz de Usuario Web del administrador de FortiMail versiones 6.2.0, 6.0.0 hasta 6.0.6, 5.4.10 y posteriores, puede permitir a administradores acceder a la consola web, a la que no deberían estar autorizados. • https://fortiguard.com/advisory/FG-IR-19-237 •