CVE-2019-5590
https://notcve.org/view.php?id=CVE-2019-5590
The URL part of the report message is not encoded in Fortinet FortiWeb 6.0.2 and below which may allow an attacker to execute unauthorized code or commands (Cross Site Scripting) via attack reports generated in HTML form. La parte de la URL del mensaje de reporte no está codificada en Fortinet FortiWeb versión 6.0.2 y siguientes, lo que puede permitir a un atacante ejecutar código o comandos no autorizados (Cross Site Scripting) por medio de reportes de ataque generados en formato HTML. • http://www.securityfocus.com/bid/108786 https://fortiguard.com/advisory/FG-IR-19-070 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2017-7736
https://notcve.org/view.php?id=CVE-2017-7736
A stored Cross-site Scripting (XSS) vulnerability in Fortinet FortiWeb webUI Certificate View page in 5.8.0, 5.7.1 and earlier, allows attackers to inject arbitrary web script or HTML via special crafted malicious certificate import. Una vulnerabilidad de Cross-Site Scripting (XSS) persistente en la página de visualización de certificados de la interfaz web de usuario en Fortinet FortiWeb, en versiones 5.8.0, 5.7.1 y anteriores, permite que los atacantes inyecten scripts web o HTML arbitrarios mediante importaciones de certificados maliciosos especialmente manipulados. • http://www.securityfocus.com/bid/101916 https://fortiguard.com/advisory/FG-IR-17-131 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2017-7737
https://notcve.org/view.php?id=CVE-2017-7737
An information disclosure vulnerability in Fortinet FortiWeb 5.8.2 and below versions allows logged-in admin user to view SNMPv3 user password in cleartext in webui via the HTML source code. Una vulnerabilidad de revelación de información en Fortinet FortiWeb 5.8.2 y versiones inferiores permite que un usuario administrador con la sesión iniciada tenga acceso a la contraseña de usuario SNMPv3 en formato de texto no cifrado en webui mediante el código fuente HTML. • http://www.securityfocus.com/bid/100205 https://fortiguard.com/advisory/FG-IR-17-162 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-552: Files or Directories Accessible to External Parties •
CVE-2017-3129
https://notcve.org/view.php?id=CVE-2017-3129
A Cross-Site Scripting vulnerability in Fortinet FortiWeb versions 5.7.1 and below allows attacker to execute unauthorized code or commands via an improperly sanitized POST parameter in the FortiWeb Site Publisher feature. Una vulnerabilidad de tipo Cross-Site Scripting en FortiWeb, versiones 5.7.1 y anteriores de Fortinet, permite a un atacante ejecutar código o comandos no autorizados por medio de un parámetro POST saneado inapropiadamente en la funcionalidad FortiWeb Site Publisher. • http://www.securityfocus.com/bid/98382 https://fortiguard.com/psirt/FG-IR-17-076 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2016-4066
https://notcve.org/view.php?id=CVE-2016-4066
Cross-site request forgery (CSRF) vulnerability in Fortinet FortiWeb before 5.5.3 allows remote attackers to hijack the authentication of administrators for requests that change the password via unspecified vectors. Vulnerabilidad de CSRF en Fortinet FortiWeb en versiones anteriores a 5.5.3 permite a atacantes remotos secuestrar la autenticación de administradores para peticiones de cambio de contraseña a través de vectores no especificados. • http://fortiguard.com/advisory/fortiweb-csrf-vulnerability http://www.securityfocus.com/bid/91768 http://www.securitytracker.com/id/1036194 • CWE-352: Cross-Site Request Forgery (CSRF) •