CVSS: 5.5EPSS: 0%CPEs: 3EXPL: 0CVE-2020-29013
https://notcve.org/view.php?id=CVE-2020-29013
An improper input validation vulnerability in the sniffer interface of FortiSandbox before 3.2.2 may allow an authenticated attacker to silently halt the sniffer via specifically crafted requests. Una vulnerabilidad de comprobación de entrada inapropiada en la interfaz del sniffer de FortiSandbox versiones anteriores a 3.2.2, puede permitir a un atacante autenticado detener silenciosamente el sniffer por medio de peticiones específicamente diseñadas • https://fortiguard.com/advisory/FG-IR-20-178 • CWE-20: Improper Input Validation •
CVSS: 5.6EPSS: 0%CPEs: 1EXPL: 0CVE-2020-29012
https://notcve.org/view.php?id=CVE-2020-29012
An insufficient session expiration vulnerability in FortiSandbox versions 3.2.1 and below may allow an attacker to reuse the unexpired admin user session IDs to gain information about other users configured on the device, should the attacker be able to obtain that session ID (via other, hypothetical attacks) Una vulnerabilidad de expiración de sesión insuficiente en FortiSandbox versiones 3.2.1 y posteriores, puede permitir a un atacante reusar los ID de sesión del usuario administrador no caducados para obtener información sobre otros usuarios configurados en el dispositivo, si el atacante es capaz de obtener ese ID de sesión (por medio de otros ataques hipotéticos) • https://fortiguard.com/advisory/FG-IR-20-070 • CWE-613: Insufficient Session Expiration •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0CVE-2020-15939
https://notcve.org/view.php?id=CVE-2020-15939
An improper access control vulnerability (CWE-284) in FortiSandbox versions 3.2.1 and below and 3.1.4 and below may allow an authenticated, unprivileged attacker to download the device configuration file via the recovery URL. Una vulnerabilidad de control de acceso inapropiado (CWE-284) en FortiSandbox versiones 3.2.1 y por debajo y 3.1.4 y por debajo, puede permitir a un atacante autenticado y sin privilegios descargar el archivo de configuración del dispositivo por medio de la URL de recuperación. • https://fortiguard.com/advisory/FG-IR-20-071 •
CVSS: 7.8EPSS: 0%CPEs: 6EXPL: 0CVE-2021-22124
https://notcve.org/view.php?id=CVE-2021-22124
An uncontrolled resource consumption (denial of service) vulnerability in the login modules of FortiSandbox 3.2.0 through 3.2.2, 3.1.0 through 3.1.4, and 3.0.0 through 3.0.6; and FortiAuthenticator before 6.0.6 may allow an unauthenticated attacker to bring the device into an unresponsive state via specifically-crafted long request parameters. Una vulnerabilidad de consumo no controlado de recursos (denegación de servicio) en los módulos de inicio de sesión de FortiSandbox versiones 3.2.0 hasta 3.2.2, 3.1.0 hasta 3.1.4, y 3.0.0 hasta 3.0.6; y FortiAuthenticator versiones anteriores a 6.0.6, puede permitir a un atacante no autenticado llevar el dispositivo a un estado de no respuesta por medio de parámetros long request específicamente diseñados • https://fortiguard.com/advisory/FG-IR-20-170 • CWE-400: Uncontrolled Resource Consumption •
CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0CVE-2021-24014
https://notcve.org/view.php?id=CVE-2021-24014
Multiple instances of improper neutralization of input during web page generation vulnerabilities in FortiSandbox before 4.0.0 may allow an unauthenticated attacker to perform an XSS attack via specifically crafted request parameters. Múltiples instancias de neutralización inapropiada de la entrada durante la generación de páginas web en FortiSandbox versiones anteriores a 4.0.0, pueden permitir a un atacante no autenticado llevar a cabo un ataque de tipo XSS por medio de parámetros request específicamente diseñados • https://fortiguard.com/advisory/FG-IR-20-209 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •