CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2019-16157
https://notcve.org/view.php?id=CVE-2019-16157
13 Mar 2020 — An information exposure vulnerability in Fortinet FortiWeb 6.2.0 CLI and earlier may allow an authenticated user to view sensitive information being logged via diagnose debug commands. Una vulnerabilidad de exposición de información en el CLI de Fortinet FortiWeb versiones 6.2.0 y anteriores, puede permitir a un usuario autentificado visualizar información confidencial que está siendo registrada por medio de comandos de depuración de diagnóstico. • https://fortiguard.com/advisory/FG-IR-19-269 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-532: Insertion of Sensitive Information into Log File •
CVSS: 6.1EPSS: 1%CPEs: 3EXPL: 0CVE-2019-16156
https://notcve.org/view.php?id=CVE-2019-16156
12 Mar 2020 — An Improper Neutralization of Input vulnerability in the Anomaly Detection Parameter Name in Fortinet FortiWeb 6.0.5, 6.2.0, and 6.1.1 may allow a remote unauthenticated attacker to perform a Cross Site Scripting attack (XSS). Una vulnerabilidad de Neutralización de Entrada Inapropiada en el Anomaly Detection Parameter Name en Fortinet FortiWeb versiones 6.0.5, 6.2.0 y 6.1.1, puede permitir a un atacante remoto no autenticado llevar a cabo un ataque de tipo Cross Site Scripting (XSS). • https://fortiguard.com/advisory/FG-IR-19-265 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2019-5590
https://notcve.org/view.php?id=CVE-2019-5590
28 Aug 2019 — The URL part of the report message is not encoded in Fortinet FortiWeb 6.0.2 and below which may allow an attacker to execute unauthorized code or commands (Cross Site Scripting) via attack reports generated in HTML form. La parte de la URL del mensaje de reporte no está codificada en Fortinet FortiWeb versión 6.0.2 y siguientes, lo que puede permitir a un atacante ejecutar código o comandos no autorizados (Cross Site Scripting) por medio de reportes de ataque generados en formato HTML. • http://www.securityfocus.com/bid/108786 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.9EPSS: 0%CPEs: 1EXPL: 0CVE-2017-14191
https://notcve.org/view.php?id=CVE-2017-14191
20 Mar 2018 — An Improper Access Control vulnerability in Fortinet FortiWeb 5.6.0 up to but not including 6.1.0 under "Signed Security Mode", allows attacker to bypass the signed user cookie protection by removing the FortiWeb own protection session cookie. Una vulnerabilidad de control de acceso inadecuado en Fortinet FortiWeb versión 5.6.0 hasta 6.1.0 en "Signed Security Mode", permite al atacante omitir la protección de la cookie de usuario firmada eliminando la propia cookie de sesión de protección de FortiWeb. • http://www.securityfocus.com/bid/103430 •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2012-6346
https://notcve.org/view.php?id=CVE-2012-6346
09 Feb 2018 — Multiple cross-site scripting (XSS) vulnerabilities in FortiWeb before 4.4.4 allow remote attackers to inject arbitrary web script or HTML via the (1) redir or (2) mkey parameter to waf/pcre_expression/validate. Múltiples vulnerabilidades de tipo Cross-Site Scripting (XSS) en FortiWeb, en versiones anteriores a la 4.4.4, permiten que atacantes remotos inyecten scripts web o HTML mediante los parámetros (1) redir o (2) mkey en waf/pcre_expression/validate. • https://fortiguard.com/psirt/FG-IR-012-008 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.4EPSS: 0%CPEs: 2EXPL: 0CVE-2017-7736
https://notcve.org/view.php?id=CVE-2017-7736
22 Nov 2017 — A stored Cross-site Scripting (XSS) vulnerability in Fortinet FortiWeb webUI Certificate View page in 5.8.0, 5.7.1 and earlier, allows attackers to inject arbitrary web script or HTML via special crafted malicious certificate import. Una vulnerabilidad de Cross-Site Scripting (XSS) persistente en la página de visualización de certificados de la interfaz web de usuario en Fortinet FortiWeb, en versiones 5.8.0, 5.7.1 y anteriores, permite que los atacantes inyecten scripts web o HTML arbitrarios mediante impo... • http://www.securityfocus.com/bid/101916 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.9EPSS: 0%CPEs: 1EXPL: 0CVE-2017-7737
https://notcve.org/view.php?id=CVE-2017-7737
10 Aug 2017 — An information disclosure vulnerability in Fortinet FortiWeb 5.8.2 and below versions allows logged-in admin user to view SNMPv3 user password in cleartext in webui via the HTML source code. Una vulnerabilidad de revelación de información en Fortinet FortiWeb 5.8.2 y versiones inferiores permite que un usuario administrador con la sesión iniciada tenga acceso a la contraseña de usuario SNMPv3 en formato de texto no cifrado en webui mediante el código fuente HTML. • http://www.securityfocus.com/bid/100205 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor CWE-552: Files or Directories Accessible to External Parties •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2017-3129
https://notcve.org/view.php?id=CVE-2017-3129
26 May 2017 — A Cross-Site Scripting vulnerability in Fortinet FortiWeb versions 5.7.1 and below allows attacker to execute unauthorized code or commands via an improperly sanitized POST parameter in the FortiWeb Site Publisher feature. Una vulnerabilidad de tipo Cross-Site Scripting en FortiWeb, versiones 5.7.1 y anteriores de Fortinet, permite a un atacante ejecutar código o comandos no autorizados por medio de un parámetro POST saneado inapropiadamente en la funcionalidad FortiWeb Site Publisher. • http://www.securityfocus.com/bid/98382 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.9EPSS: 0%CPEs: 1EXPL: 0CVE-2016-5092
https://notcve.org/view.php?id=CVE-2016-5092
13 Jul 2016 — Directory traversal vulnerability in Fortinet FortiWeb before 5.5.3 allows remote authenticated administrators with read and write privileges to read arbitrary files by leveraging the autolearn feature. Vulnerabilidad de salto de directorio en Fortinet FortiWeb en versiones anteriores a 5.5.3 permite a administradores remotos autenticados con privilegios de lectura y escritura leer archivos arbitrarios mediante el aprovechamiento de una función de aprendizaje automático. • http://fortiguard.com/advisory/fortiweb-path-traversal-vulnerability • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2016-4066
https://notcve.org/view.php?id=CVE-2016-4066
13 Jul 2016 — Cross-site request forgery (CSRF) vulnerability in Fortinet FortiWeb before 5.5.3 allows remote attackers to hijack the authentication of administrators for requests that change the password via unspecified vectors. Vulnerabilidad de CSRF en Fortinet FortiWeb en versiones anteriores a 5.5.3 permite a atacantes remotos secuestrar la autenticación de administradores para peticiones de cambio de contraseña a través de vectores no especificados. • http://fortiguard.com/advisory/fortiweb-csrf-vulnerability • CWE-352: Cross-Site Request Forgery (CSRF) •