CVSS: 4.2EPSS: 0%CPEs: 7EXPL: 0CVE-2024-35282
https://notcve.org/view.php?id=CVE-2024-35282
A cleartext storage of sensitive information in memory vulnerability [CWE-316] affecting FortiClient VPN iOS 7.2 all versions, 7.0 all versions, 6.4 all versions, 6.2 all versions, 6.0 all versions may allow an unauthenticated attacker that has physical access to a jailbroken device to obtain cleartext passwords via keychain dump. Una vulnerabilidad de almacenamiento de texto plano de información confidencial en la memoria [CWE-316] que afecta a FortiClient VPN iOS 7.2 todas las versiones, 7.0 todas las versiones, 6.4 todas las versiones, 6.2 todas las versiones, 6.0 todas las versiones puede permitir que un atacante no autenticado que tenga acceso físico a un dispositivo con jailbreak obtenga contraseñas en texto plano a través de un volcado de llavero. • https://fortiguard.fortinet.com/psirt/FG-IR-24-139 • CWE-316: Cleartext Storage of Sensitive Information in Memory •
CVSS: 7.3EPSS: 0%CPEs: 2EXPL: 0CVE-2024-33508
https://notcve.org/view.php?id=CVE-2024-33508
An improper neutralization of special elements used in a command ('Command Injection') vulnerability [CWE-77] in Fortinet FortiClientEMS 7.2.0 through 7.2.4, 7.0.0 through 7.0.12 may allow an unauthenticated attacker to execute limited and temporary operations on the underlying database via crafted requests. Una neutralización incorrecta de elementos especiales utilizados en una vulnerabilidad de comando ('Inyección de comando') [CWE-77] en Fortinet FortiClientEMS 7.2.0 a 7.2.4, 7.0.0 a 7.0.12 puede permitir que un atacante no autenticado ejecute operaciones limitadas y temporales en la base de datos subyacente a través de solicitudes manipuladas. • https://fortiguard.fortinet.com/psirt/FG-IR-24-123 • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •
CVSS: 5.0EPSS: 0%CPEs: 10EXPL: 0CVE-2023-44254
https://notcve.org/view.php?id=CVE-2023-44254
An authorization bypass through user-controlled key [CWE-639] vulnerability in FortiAnalyzer version 7.4.1 and before 7.2.5 and FortiManager version 7.4.1 and before 7.2.5 may allow a remote attacker with low privileges to read sensitive data via a crafted HTTP request. Una vulnerabilidad de omisión de autorización a través de una clave controlada por el usuario [CWE-639] en FortiAnalyzer versión 7.4.1 y anteriores a 7.2.5 y FortiManager versión 7.4.1 y anteriores a 7.2.5 puede permitir que un atacante remoto con privilegios bajos lea datos confidenciales a través de una solicitud HTTP manipulada específicamente. • https://fortiguard.com/psirt/FG-IR-23-204 • CWE-639: Authorization Bypass Through User-Controlled Key •
CVSS: 4.3EPSS: 0%CPEs: 5EXPL: 0CVE-2024-31490
https://notcve.org/view.php?id=CVE-2024-31490
An exposure of sensitive information to an unauthorized actor in Fortinet FortiSandbox version 4.4.0 through 4.4.4 and 4.2.0 through 4.2.6 and 4.0.0 through 4.0.5 and 3.2.2 through 3.2.4 and 3.1.5 allows attacker to information disclosure via HTTP get requests. Una exposición de información confidencial a un actor no autorizado en Fortinet FortiSandbox versión 4.4.0 a 4.4.4 y 4.2.0 a 4.2.6 y 4.0.0 a 4.0.5 y 3.2.2 a 3.2.4 y 3.1.5 permite a un atacante divulgar información a través de solicitudes de obtención HTTP. • https://fortiguard.com/psirt/FG-IR-24-051 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVSS: 4.6EPSS: 0%CPEs: 2EXPL: 0CVE-2024-45323
https://notcve.org/view.php?id=CVE-2024-45323
An improper access control vulnerability [CWE-284] in FortiEDR Manager API 6.2.0 through 6.2.2, 6.0 all versions may allow in a shared environment context an authenticated admin with REST API permissions in his profile and restricted to a specific organization to access backend logs that include information related to other organizations. Una vulnerabilidad de control de acceso indebido [CWE-284] en FortiEDR Manager API 6.2.0 a 6.2.2, 6.0 todas las versiones puede permitir, en un contexto de entorno compartido, que un administrador autenticado con permisos de API REST en su perfil y restringido a una organización específica acceda a registros de backend que incluyen información relacionada con otras organizaciones. • https://fortiguard.fortinet.com/psirt/FG-IR-24-371 • CWE-284: Improper Access Control •