Page 3 of 26 results (0.003 seconds)

CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 0

Multiple uncontrolled resource consumption vulnerabilities in the web interface of FortiPortal before 6.0.6 may allow a single low-privileged user to induce a denial of service via multiple HTTP requests. Múltiples vulnerabilidades de consumo de recursos no controlables en la interfaz web de FortiPortal versiones anteriores a 6.0.6, pueden permitir a un único usuario poco privilegiado inducir una denegación de servicio por medio de múltiples peticiones HTTP • https://fortiguard.com/advisory/FG-IR-21-096 • CWE-400: Uncontrolled Resource Consumption •

CVSS: 8.1EPSS: 0%CPEs: 8EXPL: 0

An improper restriction of XML external entity reference vulnerability in the parser of XML responses of FortiPortal before 6.0.6 may allow an attacker who controls the producer of XML reports consumed by FortiPortal to trigger a denial of service or read arbitrary files from the underlying file system by means of specifically crafted XML documents. Una vulnerabilidad de restricción inapropiada de referencias a entidades externas XML en el analizador de respuestas XML de FortiPortal versiones anteriores a 6.0.6, puede permitir a un atacante que controle el productor de informes XML consumidos por FortiPortal desencadenar una denegación de servicio o leer archivos arbitrarios del sistema de archivos subyacente mediante documentos XML específicamente diseñados • https://fortiguard.com/advisory/FG-IR-21-104 • CWE-611: Improper Restriction of XML External Entity Reference •

CVSS: 3.5EPSS: 0%CPEs: 1EXPL: 0

A concurrent execution using shared resource with improper Synchronization vulnerability ('Race Condition') in the customer database interface of FortiPortal before 6.0.6 may allow an authenticated, low-privilege user to bring the underlying database data into an inconsistent state via specific coordination of web requests. Una ejecución concurrente usando un recurso compartido con una vulnerabilidad de sincronización inapropiada ("Condición de carrera") en la interfaz de la base de datos de clientes de FortiPortal versiones anteriores a 6.0.6, puede permitir a un usuario autenticado y poco privilegiado llevar los datos de la base de datos subyacente a un estado inconsistente por medio de una coordinación específica de peticiones web • https://fortiguard.com/advisory/FG-IR-21-102 • CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') •

CVSS: 6.1EPSS: 0%CPEs: 8EXPL: 0

An improper neutralization of input during web page generation vulnerability (CWE-79) in FortiPortal GUI 6.0.4 and below, 5.3.6 and below, 5.2.6 and below, 5.1.2 and below, 5.0.3 and below, 4.2.2 and below, 4.1.2 and below, 4.0.4 and below may allow a remote and unauthenticated attacker to perform an XSS attack via sending a crafted request with an invalid lang parameter or with an invalid org.springframework.web.servlet.i18n.CookieLocaleResolver.LOCALE value. Una vulnerabilidad de neutralización inapropiada de entrada durante la generación de la página web (CWE-79) en la GUI de FortiPortal versiones 6.0.4 y por debajo, 5.3.6 y por debajo, 5.2.6 y por debajo, 5.1.2 y por debajo, 5.0.3 y por debajo, 4.2.2 y por debajo, 4.1.2 y por debajo, 4.0. 4 y por debajo, pueden permitir a un atacante no autenticado y remoto llevar a cabo un ataque de tipo XSS por medio de enviar una petición diseñada con un parámetro lang inválido o con un valor org.springframework.web.servlet.i18n.CookieLocaleResolver.LOCALE inválido. • https://fortiguard.com/advisory/FG-IR-20-066 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 10.0EPSS: 0%CPEs: 5EXPL: 0

A use of hard-coded credentials (CWE-798) vulnerability in FortiPortal versions 5.2.5 and below, 5.3.5 and below, 6.0.4 and below, versions 5.1.x and 5.0.x may allow a remote and unauthenticated attacker to execute unauthorized commands as root by uploading and deploying malicious web application archive files using the default hard-coded Tomcat Manager username and password. Una vulnerabilidad de uso de credenciales embebidas (CWE-798) en FortiPortal versiones 5.2.5 e inferiores, 5.3.5 e inferiores, 6.0.4 e inferiores, y en versiones 5.1.x y 5.0.x, puede permitir a un atacante no autenticado remoto ejecutar comandos no autorizados como root al cargar y desplegar archivos comprimidos de aplicaciones web maliciosas usando el nombre de usuario y la contraseña predeterminados de Tomcat Manager. • https://fortiguard.com/advisory/FG-IR-21-077 • CWE-798: Use of Hard-coded Credentials •