CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 0CVE-2021-26098
https://notcve.org/view.php?id=CVE-2021-26098
An instance of small space of random values in the RPC API of FortiSandbox before 4.0.0 may allow an attacker in possession of a few information pieces about the state of the device to possibly predict valid session IDs. Un espacio pequeño de valores aleatorios en la API RPC de FortiSandbox versiones anteriores a 4.0.0, podría permitir a un atacante en posesión de algunas piezas de información sobre el estado del dispositivo predecir posiblemente los ID de sesión válidos • https://fortiguard.com/advisory/FG-IR-20-218 • CWE-330: Use of Insufficiently Random Values •
CVSS: 9.0EPSS: 0%CPEs: 1EXPL: 0CVE-2021-22125
https://notcve.org/view.php?id=CVE-2021-22125
An instance of improper neutralization of special elements in the sniffer module of FortiSandbox before 3.2.2 may allow an authenticated administrator to execute commands on the underlying system's shell via altering the content of its configuration file. Una instancia de neutralización inapropiada de elementos especiales en el módulo sniffer de FortiSandbox versiones anteriores a 3.2.2, puede permitir a un administrador autenticado ejecutar comandos en el shell del sistema subyacente por medio de la alteración del contenido de su archivo de configuración • https://fortiguard.com/advisory/FG-IR-21-005 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 6.3EPSS: 0%CPEs: 1EXPL: 0CVE-2020-29014
https://notcve.org/view.php?id=CVE-2020-29014
A concurrent execution using shared resource with improper synchronization ('race condition') in the command shell of FortiSandbox before 3.2.2 may allow an authenticated attacker to bring the system into an unresponsive state via specifically orchestrated sequences of commands. Una ejecución concurrente usando recursos compartidos con una sincronización inapropiada ("race condition") en el shell de comandos de FortiSandbox versiones anteriores a 3.2.2, puede permitir a un atacante autenticado llevar el sistema a un estado de falta de respuesta por medio de secuencias de comandos específicamente orquestadas • https://fortiguard.com/advisory/FG-IR-20-185 • CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2018-1356
https://notcve.org/view.php?id=CVE-2018-1356
A reflected Cross-Site-Scripting (XSS) vulnerability in Fortinet FortiSandbox before 3.0 may allow an attacker to execute unauthorized code or commands via the back_url parameter in the file scan component. Una vulnerabilidad Cross-Site-Scripting (XSS) reflejado en Fortinet FortiSandbox, antes de la versión 3.0, puede permitir que un atacante ejecute código o comandos no autorizados a través del parámetro back_url en el componente de análisis de archivos. • http://www.securityfocus.com/bid/107838 https://fortiguard.com/advisory/FG-IR-18-024 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0CVE-2015-7360 – FortiSandbox 3000D 2.02 build0042 Cross Site Scripting
https://notcve.org/view.php?id=CVE-2015-7360
Multiple cross-site scripting (XSS) vulnerabilities in the Web User Interface (WebUI) in Fortinet FortiSandbox before 2.1 allow remote attackers to inject arbitrary web script or HTML via the (1) serial parameter to alerts/summary/profile/; the (2) urlForCreatingReport parameter to csearch/report/export/; the (3) id parameter to analysis/detail/download/screenshot; or vectors related to (4) "Fortiview threats by users search filtered by vdom" or (5) "PCAP file download generated by the VM scan feature." Múltiples vulnerabilidades de XSS en la Web User Interface (WebUI) en Fortinet FortiSandbox en versiones anteriores a 2.1 permite a atacantes remotos inyectar secuencias de comandos web o HTLM arbitrarios a través del (1) parámetro serial para alerts/summary/profile/; (2) parámetro urlForCreatingReport para csearch/report/export/; (3) parámetro id para analysis/detail/download/screenshot; o vectores relacionados con (4) "amenazas Fortiview por el filtrado de búsqueda de usuarios por vdom" o (5) "descarga de archivo PCAP generada por la funcionalidad scan VM". FortiSandbox 3000D version 2.02 build004 suffers from a cross site scripting vulnerability. • http://fortiguard.com/advisory/multiple-xss-vulnerabilities-in-fortisandbox-webui http://hyp3rlinx.altervista.org/advisories/AS-FORTISANDBOX-0801.txt http://packetstormsecurity.com/files/132930/FortiSandbox-3000D-2.02-build0042-Cross-Site-Scripting.html http://www.securityfocus.com/archive/1/536124/100/0/threaded • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •