CVE-2022-38381
https://notcve.org/view.php?id=CVE-2022-38381
An improper handling of malformed request vulnerability [CWE-228] exists in FortiADC 5.0 all versions, 6.0.0 all versions, 6.1.0 all versions, 6.2.0 through 6.2.3, and 7.0.0 through 7.0.2. This may allow a remote attacker without privileges to bypass some Web Application Firewall (WAF) protection such as the SQL Injection and XSS filters via a malformed HTTP request. Existe un manejo inadecuado de la vulnerabilidad de solicitud con formato incorrecto [CWE-228] en FortiADC 5.0 todas las versiones, 6.0.0 todas las versiones, 6.1.0 todas las versiones, 6.2.0 a 6.2.3 y 7.0.0 a 7.0.2. Esto puede permitir a un atacante remoto sin privilegios eludir alguna protección del Firewall de aplicaciones web (WAF), como la inyección SQL y los filtros XSS, a través de una solicitud HTTP con formato incorrecto. • https://fortiguard.com/psirt/FG-IR-22-234 •
CVE-2021-43076
https://notcve.org/view.php?id=CVE-2021-43076
An improper privilege management vulnerability [CWE-269] in FortiADC versions 6.2.1 and below, 6.1.5 and below, 6.0.4 and below, 5.4.5 and below and 5.3.7 and below may allow a remote authenticated attacker with restricted user profile to modify the system files using the shell access. Una vulnerabilidad de administración inapropiada de privilegios [CWE-269] en FortiADC versiones 6.2.1 y anteriores, 6.1.5 y anteriores, 6.0.4 y anteriores, 5.4.5 y anteriores y 5.3.7 y anteriores, puede permitir que un atacante remoto autenticado con perfil de usuario restringido modifique los archivos del sistema usando el acceso shell. • https://fortiguard.com/psirt/FG-IR-21-215 • CWE-269: Improper Privilege Management •
CVE-2022-27484
https://notcve.org/view.php?id=CVE-2022-27484
A unverified password change in Fortinet FortiADC version 6.2.0 through 6.2.3, 6.1.x, 6.0.x, 5.x.x allows an authenticated attacker to bypass the Old Password check in the password change form via a crafted HTTP request. Un cambio de contraseña no verificado en Fortinet FortiADC versiones 6.2.0 hasta 6.2.3, 6.1.x, 6.0.x, 5.x.x, permite a un atacante autenticado omitir la comprobación de la contraseña antigua en el formulario de cambio de contraseña por medio de una petición HTTP diseñada • https://fortiguard.com/psirt/FG-IR-22-055 • CWE-287: Improper Authentication •
CVE-2022-26120
https://notcve.org/view.php?id=CVE-2022-26120
Multiple improper neutralization of special elements used in an SQL Command ('SQL Injection') vulnerabilities [CWE-89] in FortiADC management interface 7.0.0 through 7.0.1, 5.0.0 through 6.2.2 may allow an authenticated attacker to execute unauthorized code or commands via specifically crafted HTTP requests. Múltiples vulnerabilidades de neutralización inapropiada de elementos especiales usados en un comando SQL ("Inyección SQL") [CWE-89] en la interfaz de administración de FortiADC versiones 7.0.0 hasta 7.0.1, 5.0.0 hasta 6.2.2, pueden permitir a un atacante autenticado ejecutar código o comandos no autorizados por medio de peticiones HTTP específicamente diseñadas • https://fortiguard.com/psirt/FG-IR-22-051 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVE-2021-32591
https://notcve.org/view.php?id=CVE-2021-32591
A missing cryptographic steps vulnerability in the function that encrypts users' LDAP and RADIUS credentials in FortiSandbox before 4.0.1, FortiWeb before 6.3.12, FortiADC before 6.2.1, FortiMail 7.0.1 and earlier may allow an attacker in possession of the password store to compromise the confidentiality of the encrypted secrets. Una vulnerabilidad de pasos criptográficos faltantes en la función que cifra las credenciales LDAP y RADIUS de los usuarios en FortiSandbox versiones anteriores a 4.0.1, FortiWeb versiones anteriores a 6.3.12, FortiADC versiones anteriores a 6.2.1, FortiMail 7.0.1 y anteriores puede permitir que un atacante en posesión del almacén de contraseñas comprometa la confidencialidad de los secretos cifrados • https://fortiguard.com/advisory/FG-IR-20-222 •