CVE-2021-42757
https://notcve.org/view.php?id=CVE-2021-42757
A buffer overflow [CWE-121] in the TFTP client library of FortiOS before 6.4.7 and FortiOS 7.0.0 through 7.0.2, may allow an authenticated local attacker to achieve arbitrary code execution via specially crafted command line arguments. Un desbordamiento de búfer [CWE-121] en la biblioteca del cliente TFTP de FortiOS versiones anteriores a 6.4.7 y FortiOS versiones 7.0.0 hasta 7.0.2, puede permitir a un atacante local autenticado lograr una ejecución de código arbitrario por medio de argumentos de línea de comandos especialmente diseñados • https://fortiguard.com/advisory/FG-IR-21-173 • CWE-787: Out-of-bounds Write •
CVE-2021-36182
https://notcve.org/view.php?id=CVE-2021-36182
A Improper neutralization of special elements used in a command ('Command Injection') in Fortinet FortiWeb version 6.3.13 and below allows attacker to execute unauthorized code or commands via crafted HTTP requests Una neutralización inapropiada de los elementos especiales usados en un comando ("Command Injection") en Fortinet FortiWeb versión 6.3.13 y por debajo, permite al atacante ejecutar código o comandos no autorizados por medio de peticiones HTTP diseñadas • https://fortiguard.com/advisory/FG-IR-21-047 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVE-2021-36179
https://notcve.org/view.php?id=CVE-2021-36179
A stack-based buffer overflow in Fortinet FortiWeb version 6.3.14 and below, 6.2.4 and below allows attacker to execute unauthorized code or commands via crafted parameters in CLI command execution Un desbordamiento de búfer en la región stack de la memoria en Fortinet FortiWeb versión 6.3.14 y por debajo, 6.2.4 y por debajo, permite al atacante ejecutar código o comandos no autorizados por medio de parámetros diseñados en la ejecución de comandos CLI • https://fortiguard.com/advisory/FG-IR-20-206 • CWE-787: Out-of-bounds Write •
CVE-2021-22122
https://notcve.org/view.php?id=CVE-2021-22122
An improper neutralization of input during web page generation in FortiWeb GUI interface 6.3.0 through 6.3.7 and version before 6.2.4 may allow an unauthenticated, remote attacker to perform a reflected cross site scripting attack (XSS) by injecting malicious payload in different vulnerable API end-points. Una neutralización inapropiada de la entrada durante la generación de la página web en la interfaz GUI de FortiWeb versiones 6.3.0 hasta 6.3.7 y la versiones anteriores a 6.2.4, puede permitir a un atacante remoto no autenticado llevar a cabo un ataque de tipo cross site scripting (XSS) reflejado al inyectar una carga útil maliciosa en diferentes endpoints de la API vulnerable • https://fortiguard.com/advisory/FG-IR-20-122 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2020-29015
https://notcve.org/view.php?id=CVE-2020-29015
A blind SQL injection in the user interface of FortiWeb 6.3.0 through 6.3.7 and version before 6.2.4 may allow an unauthenticated, remote attacker to execute arbitrary SQL queries or commands by sending a request with a crafted Authorization header containing a malicious SQL statement. Una inyección SQL ciega en la interfaz de usuario de FortiWeb versiones 6.3.0 hasta 6.3.7 y versiones anteriores a 6.2.4, puede permitir a un atacante no autenticado remoto ejecutar consultas o comandos SQL arbitrarios mediante el envío de una petición con un encabezado Authorization diseñado que contiene una sentencia SQL malicioso • https://www.fortiguard.com/psirt/FG-IR-20-124 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •