Page 3 of 19 results (0.005 seconds)

CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0

Usage of hard-coded cryptographic keys to encrypt configuration files and debug logs in FortiAuthenticator versions before 6.3.0 may allow an attacker with access to the files or the CLI configuration to decrypt the sensitive data, via knowledge of the hard-coded key. El uso de claves criptográficas embebidas para cifrar los archivos de configuración y los registros de depuración en FortiAuthenticator versiones anteriores a 6.3.0, puede permitir a un atacante con acceso a los archivos o a la configuración de la CLI descifrar los datos confidenciales, por medio del conocimiento de la clave embebida • https://fortiguard.com/psirt/FG-IR-20-049 • CWE-798: Use of Hard-coded Credentials •

CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0

An improper neutralization of input during web page generation in FortiAuthenticator WEB UI 6.0.0 may allow an unauthenticated user to perform a cross-site scripting attack (XSS) via a parameter of the logon page. Una neutralización inapropiada de la entrada durante la generación de página web en FortiAuthenticator WEB UI versión 6.0.0, puede permitir a un usuario no autenticado llevar a cabo un ataque de tipo cross-site scripting (XSS) por medio de un parámetro de la página de inicio de sesión. • https://fortiguard.com/advisory/FG-IR-19-104 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0

A cross-site scripting (XSS) vulnerability in Fortinet FortiAuthenticator in versions 4.0.0 to before 5.3.0 "CSRF validation failure" page allows attacker to execute unauthorized script code via inject malicious scripts in HTTP referer header. Una vulnerabilidad Cross-Site Scripting (XSS) en Fortinet FortiAuthenticator, desde la versión 4.0.0 hasta antes de la 5.3.0, en la página "CSRF validation failure", permite que un atacante ejecute código script no autorizado mediante la inyección de scripts maliciosos en la cabecera referer HTTP. • http://www.securityfocus.com/bid/104371 https://fortiguard.com/advisory/FG-IR-18-059 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 4.0EPSS: 0%CPEs: 1EXPL: 0

Fortinet FortiAuthenticator 3.0.0 logs the PostgreSQL usernames and passwords in cleartext, which allows remote administrators to obtain sensitive information by reading the log at debug/startup/. Fortinet FortiAuthenticator 3.0.0 registra los nombres de usuarios y las contraseñas de PostgreSQL en texto plano, lo que permite a administradores remotos obtener información sensible mediante la lectura del registro en debug/startup/. • http://packetstormsecurity.com/files/130156/Fortinet-FortiAuthenticator-XSS-Disclosure-Bypass.html http://www.fortiguard.com/advisory/FG-IR-15-003 http://www.security-assessment.com/files/documents/advisory/Fortinet_FortiAuthenticator_Multiple_Vulnerabilities.pdf http://www.securityfocus.com/bid/72378 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •

CVSS: 6.9EPSS: 0%CPEs: 1EXPL: 2

Fortinet FortiAuthenticator 3.0.0 allows local users to bypass intended restrictions and gain privileges by creating /tmp/privexec/dbgcore_enable_shell_access and executing the "shell" command. Fortinet FortiAuthenticator 3.0.0 permite a usuarios locales evadir las restricciones y ganar privilegios mediante la creación de /tmp/privexec/dbgcore_enable_shell_access y la ejecución del comando 'shell'. • http://packetstormsecurity.com/files/130156/Fortinet-FortiAuthenticator-XSS-Disclosure-Bypass.html http://www.security-assessment.com/files/documents/advisory/Fortinet_FortiAuthenticator_Multiple_Vulnerabilities.pdf http://www.securityfocus.com/bid/72378 https://exchange.xforce.ibmcloud.com/vulnerabilities/100559 • CWE-264: Permissions, Privileges, and Access Controls •