Page 7 of 47 results (0.007 seconds)

CVSS: 8.0EPSS: 0%CPEs: 6EXPL: 0

An improper neutralization of input during web page generation vulnerability [CWE-79] exists in FortiManager and FortiAnalyzer 6.0.0 all versions, 6.2.0 all versions, 6.4.0 through 6.4.8, and 7.0.0 through 7.0.4. Report templates may allow a low privilege level attacker to perform an XSS attack via posting a crafted CKeditor "protected" comment as described in CVE-2020-9281. Existe una neutralización inadecuada de la entrada durante la vulnerabilidad de generación de páginas web [CWE-79] en FortiManager y FortiAnalyzer 6.0.0 todas las versiones, 6.2.0 todas las versiones, 6.4.0 a 6.4.8 y 7.0.0 a 7.0.4. Las plantillas de informes pueden permitir que un atacante de bajo nivel de privilegios realice un ataque XSS mediante la publicación de un comentario "protected" de CKeditor manipulado como se describe en CVE-2020-9281. • https://fortiguard.com/psirt/FG-IR-21-228 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 5.3EPSS: 0%CPEs: 10EXPL: 0

An exposure of resource to wrong sphere vulnerability [CWE-668] in FortiAnalyzer and FortiManager GUI 7.0.0 through 7.0.3, 6.4.0 through 6.4.8, 6.2.0 through 6.2.9, 6.0.0 through 6.0.11, 5.6.0 through 5.6.11 may allow an unauthenticated and remote attacker to access report template images via referencing the name in the URL path. Una vulnerabilidad de exposición de recursos a una esfera incorrecta [CWE-668] en FortiAnalyzer y FortiManager GUI versiones 7.0.0 hasta 7.0.3, 6.4.0 hasta 6.4.8, 6.2.0 hasta 6.2.9, 6.0.0 hasta 6.0.11, 5.6.0 hasta 5.6.11, puede permitir a un atacante no autenticado y remoto acceder a imágenes de plantillas de informes por medio de la referencia al nombre en la ruta URL • https://fortiguard.com/psirt/FG-IR-22-026 • CWE-668: Exposure of Resource to Wrong Sphere •

CVSS: 6.7EPSS: 0%CPEs: 8EXPL: 0

A privilege chaining vulnerability [CWE-268] in FortiManager and FortiAnalyzer 6.0.x, 6.2.x, 6.4.0 through 6.4.7, 7.0.0 through 7.0.3 may allow a local and authenticated attacker with a restricted shell to escalate their privileges to root due to incorrect permissions of some folders and executable files on the system. Una vulnerabilidad de encadenamiento de privilegios [CWE-268] en FortiManager y FortiAnalyzer versiones 6.0.x, 6.2.x, 6.4.0 a 6.4.7, 7.0.0 a 7.0.3, puede permitir a un atacante local y autenticado con un shell restringido escalar sus privilegios a root debido a los permisos incorrectos de algunas carpetas y archivos ejecutables en el sistema • https://fortiguard.com/psirt/FG-IR-21-056 • CWE-269: Improper Privilege Management •

CVSS: 7.2EPSS: 0%CPEs: 8EXPL: 0

A improper neutralization of special elements used in an os command ('os command injection') in Fortinet FortiManager version 7.0.0 through 7.0.3, 6.4.0 through 6.4.7, 6.2.x and 6.0.x and FortiAnalyzer version 7.0.0 through 7.0.3, version 6.4.0 through 6.4.7, 6.2.x and 6.0.x allows attacker to execute arbitrary shell code as `root` user via `diagnose system` CLI commands. Una neutralización inapropiada de elementos especiales usados en un comando os ("inyección de comando os") en Fortinet FortiManager versiones 7.0.0 hasta 7.0.3, 6.4.0 hasta 6.4.7, 6.2.x y 6.0. x y FortiAnalyzer versión 7.0.0 hasta 7.0.3, versiones 6.4.0 hasta 6.4.7, 6.2.x y 6.0.x, permite a un atacante ejecutar código shell arbitrario como usuario "root" por medio de comandos CLI "diagnose system". • https://fortiguard.com/psirt/FG-IR-22-049 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •

CVSS: 7.8EPSS: 0%CPEs: 9EXPL: 1

Multiple OS command injection (CWE-78) vulnerabilities in the command line interface of FortiManager 6.2.7 and below, 6.4.5 and below and all versions of 6.2.x, 6.0.x and 5.6.x, FortiAnalyzer 6.2.7 and below, 6.4.5 and below and all versions of 6.2.x, 6.0.x and 5.6.x, and FortiPortal 5.2.5 and below, 5.3.5 and below and 6.0.4 and below may allow a local authenticated and unprivileged user to execute arbitrary shell commands as root via specifically crafted CLI command parameters. Múltiples vulnerabilidades de inyección de comandos en el Sistema Operativo (CWE-78) en la interfaz de línea de comandos de FortiManager versiones 6.2.7 y anteriores, 6.4.5 y anteriores y todas las versiones de 6.2.x, 6.0.x y 5.6.x, FortiAnalyzer versiones 6.2.7 y anteriores, 6.4.5 y anteriores y todas las versiones de 6. 2.x, 6.0.x y 5.6.x, y FortiPortal versiones 5.2.5 y anteriores, 5.3.5 y anteriores y 6.0.4 y anteriores, pueden permitir a un usuario local autenticado no privilegiado ejecutar comandos shell arbitrarios como root por medio de parámetros de comando CLI específicamente diseñados • https://fortiguard.com/advisory/FG-IR-21-037 https://github.com/orangecertcc/security-research/security/advisories/GHSA-f73m-fvj3-m2pm • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •