CVE-2022-38381
https://notcve.org/view.php?id=CVE-2022-38381
An improper handling of malformed request vulnerability [CWE-228] exists in FortiADC 5.0 all versions, 6.0.0 all versions, 6.1.0 all versions, 6.2.0 through 6.2.3, and 7.0.0 through 7.0.2. This may allow a remote attacker without privileges to bypass some Web Application Firewall (WAF) protection such as the SQL Injection and XSS filters via a malformed HTTP request. Existe un manejo inadecuado de la vulnerabilidad de solicitud con formato incorrecto [CWE-228] en FortiADC 5.0 todas las versiones, 6.0.0 todas las versiones, 6.1.0 todas las versiones, 6.2.0 a 6.2.3 y 7.0.0 a 7.0.2. Esto puede permitir a un atacante remoto sin privilegios eludir alguna protección del Firewall de aplicaciones web (WAF), como la inyección SQL y los filtros XSS, a través de una solicitud HTTP con formato incorrecto. • https://fortiguard.com/psirt/FG-IR-22-234 •
CVE-2022-26120
https://notcve.org/view.php?id=CVE-2022-26120
Multiple improper neutralization of special elements used in an SQL Command ('SQL Injection') vulnerabilities [CWE-89] in FortiADC management interface 7.0.0 through 7.0.1, 5.0.0 through 6.2.2 may allow an authenticated attacker to execute unauthorized code or commands via specifically crafted HTTP requests. Múltiples vulnerabilidades de neutralización inapropiada de elementos especiales usados en un comando SQL ("Inyección SQL") [CWE-89] en la interfaz de administración de FortiADC versiones 7.0.0 hasta 7.0.1, 5.0.0 hasta 6.2.2, pueden permitir a un atacante autenticado ejecutar código o comandos no autorizados por medio de peticiones HTTP específicamente diseñadas • https://fortiguard.com/psirt/FG-IR-22-051 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •