CVSS: 8.5EPSS: 0%CPEs: 2EXPL: 0CVE-2021-42753
https://notcve.org/view.php?id=CVE-2021-42753
An improper limitation of a pathname to a restricted directory ('Path Traversal') vulnerability [CWE-22] in FortiWeb management interface 6.4.1 and below, 6.3.15 and below, 6.2.x, 6.1.x, 6.0.x, 5.9.x and 5.8.x may allow an authenticated attacker to perform an arbitrary file and directory deletion in the device filesystem. Una limitación inapropiada de un nombre de ruta a un directorio restringido ("Path Traversal") vulnerabilidad [CWE-22] en la interfaz de administración de FortiWeb versiones 6.4.1 y anteriores, versiones 6.3.15 y anteriores, versiones 6.2.x, 6.1.x, 6.0.x, 5.9.x y 5.8.x, puede permitir a un atacante autenticado llevar a cabo una eliminación arbitraria de archivos y directorios en el sistema de archivos del dispositivo • https://fortiguard.com/psirt/FG-IR-21-158 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 9.8EPSS: 0%CPEs: 9EXPL: 0CVE-2021-41025
https://notcve.org/view.php?id=CVE-2021-41025
Multiple vulnerabilities in the authentication mechanism of confd in FortiWeb versions 6.4.1, 6.4.0, 6.3.0 through 6.3.15, 6.2.0 through 6.2.6, 6.1.0 through 6.1.2, 6.0.0 thorugh 6.0.7, including an instance of concurrent execution using shared resource with improper synchronization and one of authentication bypass by capture-replay, may allow a remote unauthenticated attacker to circumvent the authentication process and authenticate as a legitimate cluster peer. Múltiples vulnerabilidades en el mecanismo de autenticación de confd en las versiones 6.4.1, 6.4.0, 6.3.0 hasta 6.3.15, 6.2.0 hasta 6.2.6, 6.1.0 hasta 6.1.2, 6.0.0 hasta 6.0. 7, incluyendo una instancia de ejecución concurrente usando un recurso compartido con una sincronización no adecuada y una de omisión de autenticación por captura-repetición, puede permitir a un atacante remoto no autenticado omitir el proceso de autenticación y autenticarse como un peer legítimo del cluster • https://fortiguard.com/advisory/FG-IR-21-130 • CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') •
CVSS: 6.1EPSS: 0%CPEs: 3EXPL: 0CVE-2021-36188
https://notcve.org/view.php?id=CVE-2021-36188
A improper neutralization of input during web page generation ('cross-site scripting') in Fortinet FortiWeb version 6.4.1 and below, 6.3.15 and below allows attacker to execute unauthorized code or commands via crafted GET parameters in requests to login and error handlers Una neutralización inapropiada de la entrada durante la generación de la página web ("Cross-site Scripting") en Fortinet FortiWeb versión 6.4.1 y anteriores, 6.3.15 y anteriores, permite a un atacante ejecutar código o comandos no autorizados por medio de parámetros GET diseñados en peticiones de inicio de sesión y manejadores de errores • https://fortiguard.com/advisory/FG-IR-21-118 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.5EPSS: 0%CPEs: 8EXPL: 0CVE-2021-36190
https://notcve.org/view.php?id=CVE-2021-36190
A unintended proxy or intermediary ('confused deputy') in Fortinet FortiWeb version 6.4.1 and below, 6.3.15 and below allows an unauthenticated attacker to access protected hosts via crafted HTTP requests. Un proxy o intermediario no intencionado ("confused deputy") en Fortinet FortiWeb versión 6.4.1 y anteriores, 6.3.15 y anteriores, permite a un atacante no autenticado acceder a hosts protegidos por medio de peticiones HTTP diseñadas • https://fortiguard.com/advisory/FG-IR-21-123 •
CVSS: 7.5EPSS: 0%CPEs: 8EXPL: 0CVE-2021-41014
https://notcve.org/view.php?id=CVE-2021-41014
A uncontrolled resource consumption in Fortinet FortiWeb version 6.4.1 and below, 6.3.15 and below allows an unauthenticated attacker to make the httpsd daemon unresponsive via huge HTTP packets Un consumo no controlado de recursos en Fortinet FortiWeb versiones 6.4.1 y anteriores, 6.3.15 y anteriores, permite a un atacante no autenticado hacer que el demonio httpsd no responda por medio de enormes paquetes HTTP • https://fortiguard.com/advisory/FG-IR-21-131 • CWE-400: Uncontrolled Resource Consumption •