CVE-2022-39945
https://notcve.org/view.php?id=CVE-2022-39945
An improper access control vulnerability [CWE-284] in FortiMail 7.2.0, 7.0.0 through 7.0.3, 6.4 all versions, 6.2 all versions, 6.0 all versions may allow an authenticated admin user assigned to a specific domain to access and modify other domains information via insecure direct object references (IDOR). Una vulnerabilidad de control de acceso inadecuado [CWE-284] en FortiMail 7.2.0, 7.0.0 a 7.0.3, 6.4 todas las versiones, 6.2 todas las versiones, 6.0 todas las versiones puede permitir que un usuario administrador autenticado asignado a un dominio específico acceda y modifique información de otros dominios a través de referencias directas a objetos inseguras (IDOR). • https://fortiguard.com/psirt/FG-IR-22-066 • CWE-639: Authorization Bypass Through User-Controlled Key •
CVE-2022-26114
https://notcve.org/view.php?id=CVE-2022-26114
An improper neutralization of input during web page generation vulnerability [CWE-79] in the Webmail of FortiMail before 7.2.0 may allow an unauthenticated attacker to trigger a cross-site scripting (XSS) attack via sending specially crafted mail messages. Una vulnerabilidad de neutralización inapropiada de la entrada durante la generación de la página web [CWE-79] en el Webmail de FortiMail versiones anteriores a 7.2.0 puede permitir a un atacante no autenticado desencadenar un ataque de tipo cross-site scripting (XSS) por medio del envío de mensajes de correo especialmente diseñados. • https://fortiguard.com/psirt/FG-IR-21-045 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2022-22299
https://notcve.org/view.php?id=CVE-2022-22299
A format string vulnerability [CWE-134] in the command line interpreter of FortiADC version 6.0.0 through 6.0.4, FortiADC version 6.1.0 through 6.1.5, FortiADC version 6.2.0 through 6.2.1, FortiProxy version 1.0.0 through 1.0.7, FortiProxy version 1.1.0 through 1.1.6, FortiProxy version 1.2.0 through 1.2.13, FortiProxy version 2.0.0 through 2.0.7, FortiProxy version 7.0.0 through 7.0.1, FortiOS version 6.0.0 through 6.0.14, FortiOS version 6.2.0 through 6.2.10, FortiOS version 6.4.0 through 6.4.8, FortiOS version 7.0.0 through 7.0.2, FortiMail version 6.4.0 through 6.4.5, FortiMail version 7.0.0 through 7.0.2 may allow an authenticated user to execute unauthorized code or commands via specially crafted command arguments. Una vulnerabilidad de cadena de formato [CWE-134] en el intérprete de línea de comandos de FortiADC versión 6.0.0 hasta 6.0.4, FortiADC versión 6.1.0 hasta 6.1.5, FortiADC versión 6.2.0 hasta 6.2.1, FortiProxy versión 1.0.0 hasta 1.0.7, FortiProxy versión 1.1.0 hasta 1.1.6, FortiProxy versión 1.2.0 hasta 1.2.13, FortiProxy versión 2.0.0 hasta 2.0.7, FortiProxy versión 7. 0.0 a 7.0.1, FortiOS versión 6.0.0 hasta 6.0.14, FortiOS versión 6.2.0 hasta 6.2.10, FortiOS versión 6.4.0 hasta 6.4.8, FortiOS versión 7.0.0 hasta 7.0.2, FortiMail versión 6.4.0 hasta 6.4.5, FortiMail versión 7.0.0 hasta 7.0.2, pueden permitir a un usuario autenticado ejecutar código o comandos no autorizados por medio de argumentos de comando especialmente diseñados • https://fortiguard.com/psirt/FG-IR-21-235 • CWE-134: Use of Externally-Controlled Format String •
CVE-2021-32586
https://notcve.org/view.php?id=CVE-2021-32586
An improper input validation vulnerability in the web server CGI facilities of FortiMail before 7.0.1 may allow an unauthenticated attacker to alter the environment of the underlying script interpreter via specifically crafted HTTP requests. Una vulnerabilidad de comprobación de entrada inapropiada en las instalaciones CGI del servidor web de FortiMail versiones anteriores a 7.0.1, puede permitir a un atacante no autenticado alterar el entorno del intérprete de scripts subyacente por medio de peticiones HTTP específicamente diseñadas. • https://fortiguard.com/psirt/FG-IR-21-008 • CWE-20: Improper Input Validation •
CVE-2021-36166
https://notcve.org/view.php?id=CVE-2021-36166
An improper authentication vulnerability in FortiMail before 7.0.1 may allow a remote attacker to efficiently guess one administrative account's authentication token by means of the observation of certain system's properties. Una vulnerabilidad de autenticación inapropiada en FortiMail versiones anteriores a 7.0.1, puede permitir a un atacante remoto adivinar eficazmente el token de autenticación de una cuenta administrativa mediante la observación de determinadas propiedades del sistema. • https://fortiguard.com/psirt/FG-IR-21-028 • CWE-330: Use of Insufficiently Random Values •