CVE-2021-36170
https://notcve.org/view.php?id=CVE-2021-36170
An information disclosure vulnerability [CWE-200] in FortiAnalyzerVM and FortiManagerVM versions 7.0.0 and 6.4.6 and below may allow an authenticated attacker to read the FortiCloud credentials which were used to activate the trial license in cleartext. Una vulnerabilidad de divulgación de información [CWE-200] en FortiAnalyzerVM y FortiManagerVM versiones 7.0.0 y 6.4.6 y por debajo, puede permitir a un atacante autenticado leer las credenciales de FortiCloud que fueron usadas para activar la licencia de prueba en texto sin cifrar • https://fortiguard.com/advisory/FG-IR-21-112 • CWE-522: Insufficiently Protected Credentials •
CVE-2021-24017
https://notcve.org/view.php?id=CVE-2021-24017
An improper authentication in Fortinet FortiManager version 6.4.3 and below, 6.2.6 and below allows attacker to assign arbitrary Policy and Object modules via crafted requests to the request handler. Una autenticación inapropiada en Fortinet FortiManager versión 6.4.3 y siguientes, versión 6.2.6 y por debajo, permite a un atacante asignar módulos arbitrarios de Políticas y Objetos por medio de peticiones diseñadas al manejador de peticiones • https://fortiguard.com/advisory/FG-IR-20-189 • CWE-287: Improper Authentication •
CVE-2021-24016
https://notcve.org/view.php?id=CVE-2021-24016
An improper neutralization of formula elements in a csv file in Fortinet FortiManager version 6.4.3 and below, 6.2.7 and below allows attacker to execute arbitrary commands via crafted IPv4 field in policy name, when exported as excel file and opened unsafely on the victim host. Una neutralización inapropiada de los elementos de la fórmula en un archivo csv en Fortinet FortiManager versión 6.4.3 y por debajo, versión 6.2.7 y por debajo, permite al atacante ejecutar comandos arbitrarios por medio de un campo IPv4 diseñado en el nombre de la política, cuando se exporta como archivo excel y es abierto de forma no segura en el host víctima • https://fortiguard.com/advisory/FG-IR-20-190 • CWE-1236: Improper Neutralization of Formula Elements in a CSV File •
CVE-2021-24006
https://notcve.org/view.php?id=CVE-2021-24006
An improper access control vulnerability in FortiManager versions 6.4.0 to 6.4.3 may allow an authenticated attacker with a restricted user profile to access the SD-WAN Orchestrator panel via directly visiting its URL. Una vulnerabilidad de control de acceso inapropiado en FortiManager versiones 6.4.0 a 6.4.3, puede permitir que un atacante autenticado con un perfil de usuario restringido acceda al panel de SD-WAN Orchestrator por medio de una visita directa a su URL. • https://fortiguard.com/advisory/FG-IR-20-061 •
CVE-2021-32587
https://notcve.org/view.php?id=CVE-2021-32587
An improper access control vulnerability in FortiManager and FortiAnalyzer GUI interface 7.0.0, 6.4.5 and below, 6.2.8 and below, 6.0.11 and below, 5.6.11 and below may allow a remote and authenticated attacker with restricted user profile to retrieve the list of administrative users of other ADOMs and their related configuration. Una vulnerabilidad de control de acceso inapropiado en la interfaz GUI de FortiManager y FortiAnalyzer versiones 7.0.0, 6.4.5 e inferiores, 6.2.8 e inferiores, 6.0.11 e inferiores, 5.6.11 e inferiores, puede permitir a un atacante remoto autenticado con perfil de usuario restringido recuperar la lista de usuarios administrativos de otros ADOM y su configuración relacionada. • https://fortiguard.com/advisory/FG-IR-21-059 •