CVSS: 7.8EPSS: 0%CPEs: 10EXPL: 1CVE-2023-42788
https://notcve.org/view.php?id=CVE-2023-42788
An improper neutralization of special elements used in an os command ('OS Command Injection') vulnerability [CWE-78] in FortiManager & FortiAnalyzer version 7.4.0, version 7.2.0 through 7.2.3, version 7.0.0 through 7.0.8, version 6.4.0 through 6.4.12 and version 6.2.0 through 6.2.11 may allow a local attacker with low privileges to execute unauthorized code via specifically crafted arguments to a CLI command Una neutralización inadecuada de elementos especiales utilizados en una vulnerabilidad de comando del sistema operativo ('Inyección de comando del sistema operativo') [CWE-78] en FortiManager y FortiAnalyzer versión 7.4.0, versión 7.2.0 a 7.2.3, versión 7.0.0 a 7.0.8 , las versiones 6.4.0 a 6.4.12 y 6.2.0 a 6.2.11 pueden permitir que un atacante local con privilegios bajos ejecute código no autorizado a través de argumentos específicamente manipulados para un comando CLI • https://fortiguard.com/psirt/FG-IR-23-167 https://github.com/orangecertcc/security-research/security/advisories/GHSA-qpv8-g6qv-rf8p • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 6.5EPSS: 0%CPEs: 10EXPL: 1CVE-2023-42787
https://notcve.org/view.php?id=CVE-2023-42787
A client-side enforcement of server-side security [CWE-602] vulnerability in Fortinet FortiManager version 7.4.0 and before 7.2.3 and FortiAnalyzer version 7.4.0 and before 7.2.3 may allow a remote attacker with low privileges to access a privileged web console via client side code execution. Una vulnerabilidad de aplicación de seguridad del lado del servidor [CWE-602] en Fortinet FortiManager versión 7.4.0 y anteriores a 7.2.3 y FortiAnalyzer versión 7.4.0 y anteriores a 7.2.3 puede permitir que un atacante remoto con privilegios bajos acceda a una consola web privilegiada a través de la ejecución de código del lado del cliente. • https://fortiguard.com/psirt/FG-IR-23-187 https://github.com/orangecertcc/security-research/security/advisories/GHSA-q5pq-8666-j8fr • CWE-602: Client-Side Enforcement of Server-Side Security •
CVSS: 6.5EPSS: 0%CPEs: 10EXPL: 0CVE-2023-44249
https://notcve.org/view.php?id=CVE-2023-44249
An authorization bypass through user-controlled key [CWE-639] vulnerability in Fortinet FortiManager version 7.4.0 and before 7.2.3 and FortiAnalyzer version 7.4.0 and before 7.2.3 allows a remote attacker with low privileges to read sensitive information via crafted HTTP requests. Una vulnerabilidad de omisión de autorización a través de clave controlada por el usuario [CWE-639] en Fortinet FortiManager versión 7.4.0 y anteriores a 7.2.3 y FortiAnalyzer versión 7.4.0 y anteriores a 7.2.3 permite a un atacante remoto con privilegios bajos leer información confidencial a través de solicitudes HTTP manipuladas. • https://fortiguard.com/psirt/FG-IR-23-201 https://github.com/orangecertcc/security-research/security/advisories/GHSA-x8rp-jfwc-gqqj • CWE-639: Authorization Bypass Through User-Controlled Key •