CVSS: 8.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-24006
https://notcve.org/view.php?id=CVE-2021-24006
An improper access control vulnerability in FortiManager versions 6.4.0 to 6.4.3 may allow an authenticated attacker with a restricted user profile to access the SD-WAN Orchestrator panel via directly visiting its URL. Una vulnerabilidad de control de acceso inapropiado en FortiManager versiones 6.4.0 a 6.4.3, puede permitir que un atacante autenticado con un perfil de usuario restringido acceda al panel de SD-WAN Orchestrator por medio de una visita directa a su URL. • https://fortiguard.com/advisory/FG-IR-20-061 •
CVSS: 4.3EPSS: 0%CPEs: 4EXPL: 0CVE-2021-32587
https://notcve.org/view.php?id=CVE-2021-32587
An improper access control vulnerability in FortiManager and FortiAnalyzer GUI interface 7.0.0, 6.4.5 and below, 6.2.8 and below, 6.0.11 and below, 5.6.11 and below may allow a remote and authenticated attacker with restricted user profile to retrieve the list of administrative users of other ADOMs and their related configuration. Una vulnerabilidad de control de acceso inapropiado en la interfaz GUI de FortiManager y FortiAnalyzer versiones 7.0.0, 6.4.5 e inferiores, 6.2.8 e inferiores, 6.0.11 e inferiores, 5.6.11 e inferiores, puede permitir a un atacante remoto autenticado con perfil de usuario restringido recuperar la lista de usuarios administrativos de otros ADOM y su configuración relacionada. • https://fortiguard.com/advisory/FG-IR-21-059 •
CVSS: 5.4EPSS: 0%CPEs: 6EXPL: 0CVE-2021-32597
https://notcve.org/view.php?id=CVE-2021-32597
Multiple improper neutralization of input during web page generation (CWE-79) in FortiManager and FortiAnalyzer versions 7.0.0, 6.4.5 and below, 6.2.7 and below user interface, may allow a remote authenticated attacker to perform a Stored Cross Site Scripting attack (XSS) by injecting malicious payload in GET parameters. Una neutralización inapropiada de la entrada durante la generación de la página web (CWE-79) en FortiManager y FortiAnalyzer versiones 7.0.0, 6.4.5 y por debajo, 6.2.7 y por debajo de la interfaz de usuario, puede permitir a un atacante remoto autenticado llevar a cabo un ataque de tipo Cross Site Scripting attack (XSS) Almacenado al inyectar una carga útil maliciosa en los parámetros GET • https://fortiguard.com/advisory/FG-IR-21-054 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 6EXPL: 0CVE-2021-32603
https://notcve.org/view.php?id=CVE-2021-32603
A server-side request forgery (SSRF) (CWE-918) vulnerability in FortiManager and FortiAnalyser GUI 7.0.0, 6.4.5 and below, 6.2.7 and below, 6.0.11 and below, 5.6.11 and below may allow a remote and authenticated attacker to access unauthorized files and services on the system via specifically crafted web requests. Una vulnerabilidad de tipo server-side request forgery (SSRF) (CWE-918) en FortiManager y FortiAnalyser GUI versiones 7.0.0, versiones 6.4.5 y por debajo, versiones 6.2.7 y por debajo, versiones 6.0.11 y por debajo, versiones 5.6.11 y por debajo puede permitir a un atacante remoto autenticado acceder a archivos y servicios no autorizados en el sistema por medio de peticiones web específicamente diseñadas • https://fortiguard.com/advisory/FG-IR-21-050 • CWE-918: Server-Side Request Forgery (SSRF) •
CVSS: 4.3EPSS: 0%CPEs: 2EXPL: 0CVE-2021-32598
https://notcve.org/view.php?id=CVE-2021-32598
An improper neutralization of CRLF sequences in HTTP headers ('HTTP Response Splitting') vulnerability In FortiManager and FortiAnalyzer GUI 7.0.0, 6.4.6 and below, 6.2.8 and below, 6.0.11 and below, 5.6.11 and below may allow an authenticated and remote attacker to perform an HTTP request splitting attack which gives attackers control of the remaining headers and body of the response. Una vulnerabilidad de neutralización inapropiada de las secuencias CRLF en los encabezados HTTP ("HTTP Response Splitting") En FortiManager y FortiAnalyzer GUI versiones 7.0.0, 6.4.6 y por debajo, versiones 6.2.8 y por debajo, versiones 6.0.11 y por debajo, versiones 5.6.11 y por debajo puede permitir a un atacante remoto autenticado llevar a cabo un ataque de división de peticiones HTTP que da a atacantes el control de los encabezados restantes y del cuerpo de la respuesta • https://fortiguard.com/advisory/FG-IR-21-063 • CWE-444: Inconsistent Interpretation of HTTP Requests ('HTTP Request/Response Smuggling') •