CVSS: 8.1EPSS: 0%CPEs: 8EXPL: 0CVE-2021-32594
https://notcve.org/view.php?id=CVE-2021-32594
An unrestricted file upload vulnerability in the web interface of FortiPortal 6.0.0 through 6.0.4, 5.3.0 through 5.3.5, 5.2.0 through 5.2.5, and 4.2.2 and earlier may allow a low-privileged user to potentially tamper with the underlying system's files via the upload of specifically crafted files. Una vulnerabilidad de carga de archivos no restringida en la interfaz web de FortiPortal versiones 6.0.0 hasta 6.0.4, versiones 5.3.0 hasta 5.3.5, versiones 5.2.0 hasta 5.2.5, y versiones 4.2.2 y anteriores puede permitir a un usuario poco privilegiado manipular potencialmente los archivos del sistema subyacente por medio de la carga de archivos específicamente diseñados • https://fortiguard.com/advisory/FG-IR-21-092 • CWE-434: Unrestricted Upload of File with Dangerous Type •
CVSS: 9.8EPSS: 0%CPEs: 1EXPL: 0CVE-2017-7342
https://notcve.org/view.php?id=CVE-2017-7342
A weak password recovery process vulnerability in Fortinet FortiPortal versions 4.0.0 and below allows an attacker to execute unauthorized code or commands via a hidden Close button Una vulnerabilidad de debilidad del proceso de recuperación de contraseña en Fortinet FortiPortal en su versión 4.0.0 y anteriores permite que atacantes remotos ejecuten código o comandos sin autorización mediante un botón ‘‘Close’’ oculto. • https://fortiguard.com/psirt/FG-IR-17-114 • CWE-20: Improper Input Validation •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2017-7340
https://notcve.org/view.php?id=CVE-2017-7340
A Cross-Site Scripting vulnerability in Fortinet FortiPortal versions 4.0.0 and below allows an attacker to execute unauthorized code or commands via the applicationSearch parameter in the FortiView functionality. Una vulnerabilidad Cross-Site Scripting en Fortinet FortiPortal en su versión 4.0.0 y anteriores permite que atacantes remotos ejecuten código o comandos sin autorización mediante el parámetro applicationSearch en la funcionalidad FortiView. • https://fortiguard.com/psirt/FG-IR-17-114 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 9.1EPSS: 0%CPEs: 1EXPL: 0CVE-2017-7337
https://notcve.org/view.php?id=CVE-2017-7337
An improper Access Control vulnerability in Fortinet FortiPortal versions 4.0.0 and below allows an attacker to interact with unauthorized VDOMs or enumerate other ADOMs via another user's stolen session and CSRF tokens or the adomName parameter in the /fpc/sec/customer/policy/getAdomVersion request. Una vulnerabilidad de Control de Acceso inapropiada en FortiPortal versiones 4.0.0 y anteriores de Fortinet, permite a un atacante interactuar con VDOMs no autorizados o enumerar otros ADOM por medio de una sesión robada de otro usuario y tokens CSRF o el parámetro adomName en la petición /fpc/sec/customer/policy/getAdomVersion. • https://fortiguard.com/psirt/FG-IR-17-114 • CWE-732: Incorrect Permission Assignment for Critical Resource •
CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2017-7338
https://notcve.org/view.php?id=CVE-2017-7338
A password management vulnerability in Fortinet FortiPortal versions 4.0.0 and below allows an attacker to carry out information disclosure via the FortiAnalyzer Management View. Existe una vulnerabilidad en el manejo de contraseñas en Fortinet FortiPortal en versiones anteriores a la 4.0.0 que permite a los atacantes divulgar información mediante FortiAnalyzer Management View. • https://fortiguard.com/psirt/FG-IR-17-114 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •