CVSS: 6.5EPSS: 0%CPEs: 3EXPL: 0CVE-2023-37932
https://notcve.org/view.php?id=CVE-2023-37932
An improper limitation of a pathname to a restricted directory ('path traversal') vulnerability [CWE-22] in FortiVoiceEntreprise version 7.0.0 and before 6.4.7 allows an authenticated attacker to read arbitrary files from the system via sending crafted HTTP or HTTPS requests Una vulnerabilidad de limitación inadecuada de un nombre de ruta a un directorio restringido ("Path traversal") [CWE-22] en FortiVoiceEntreprise versión 7.0.0 y anteriores a 6.4.7 permite a un atacante autenticado leer archivos arbitrarios del sistema mediante el envío de solicitudes HTTP o HTTPS manipuladas. • https://fortiguard.com/psirt/FG-IR-23-219 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 8.8EPSS: 0%CPEs: 4EXPL: 0CVE-2023-44251
https://notcve.org/view.php?id=CVE-2023-44251
A improper limitation of a pathname to a restricted directory ('path traversal') vulnerability [CWE-22] in Fortinet FortiWAN version 5.2.0 through 5.2.1 and version 5.1.1. through 5.1.2 may allow an authenticated attacker to read and delete arbitrary file of the system via crafted HTTP or HTTPs requests. Una limitación inadecuada de un nombre de ruta a una vulnerabilidad de directorio restringido ("path traversal") [CWE-22] en Fortinet FortiWAN versión 5.2.0 a 5.2.1 y versión 5.1.1. hasta 5.1.2 puede permitir que un atacante autenticado lea y elimine archivos arbitrarios del sistema a través de solicitudes HTTP o HTTP manipuladas. • https://fortiguard.com/psirt/FG-IR-23-265 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 8.8EPSS: 0%CPEs: 4EXPL: 0CVE-2023-44252
https://notcve.org/view.php?id=CVE-2023-44252
An improper authentication vulnerability [CWE-287] in Fortinet FortiWAN version 5.2.0 through 5.2.1 and version 5.1.1 through 5.1.2 may allow an authenticated attacker to escalate his privileges via HTTP or HTTPs requests with crafted JWT token values. Una vulnerabilidad de autenticación incorrecta [CWE-287] en Fortinet FortiWAN versión 5.2.0 a 5.2.1 y versión 5.1.1 a 5.1.2 puede permitir que un atacante autenticado escale sus privilegios a través de solicitudes HTTP o HTTPs con valores de token JWT manipulados. • https://fortiguard.com/psirt/FG-IR-23-061 • CWE-287: Improper Authentication •
CVSS: 5.3EPSS: 0%CPEs: 6EXPL: 0CVE-2023-47536
https://notcve.org/view.php?id=CVE-2023-47536
An improper access control vulnerability [CWE-284] in FortiOS version 7.2.0, version 7.0.13 and below, version 6.4.14 and below and FortiProxy version 7.2.3 and below, version 7.0.9 and below, version 2.0.12 and below may allow a remote unauthenticated attacker to bypass the firewall deny geolocalisation policy via timing the bypass with a GeoIP database update. Una vulnerabilidad de control de acceso inadecuado [CWE-284] en FortiOS versión 7.2.0, versión 7.0.13 e inferior, versión 6.4.14 e inferior y FortiProxy versión 7.2.3 e inferior, versión 7.0.9 e inferior, versión 2.0.12 y a continuación pueden permitir que un atacante remoto no autenticado evite la política de geolocalización de denegación del firewall sincronizando la omisión con una actualización de la base de datos GeoIP. • https://fortiguard.com/psirt/FG-IR-23-432 • CWE-284: Improper Access Control •
CVSS: 8.8EPSS: 0%CPEs: 2EXPL: 0CVE-2023-48791
https://notcve.org/view.php?id=CVE-2023-48791
An improper neutralization of special elements used in a command ('Command Injection') vulnerability [CWE-77] in FortiPortal version 7.2.0, version 7.0.6 and below may allow a remote authenticated attacker with at least R/W permission to execute unauthorized commands via specifically crafted arguments in the Schedule System Backup page field. Una neutralización inadecuada de elementos especiales utilizados en una vulnerabilidad de comando ('Inyección de comando') [CWE-77] en FortiPortal versión 7.2.0, versión 7.0.6 y anteriores puede permitir que un atacante remoto autenticado con al menos permiso R/W ejecute comandos no autorizados a través de argumentos específicamente manipulados en el campo de la página Programar Copia de Seguridad del Sistema. • https://fortiguard.com/psirt/FG-IR-23-425 • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •