Page 7 of 42 results (0.008 seconds)

CVSS: 8.8EPSS: 0%CPEs: 2EXPL: 0

A stack-based buffer overflow in Fortinet FortiWeb version 6.3.14 and below, 6.2.4 and below allows attacker to execute unauthorized code or commands via crafted parameters in CLI command execution Un desbordamiento de búfer en la región stack de la memoria en Fortinet FortiWeb versión 6.3.14 y por debajo, 6.2.4 y por debajo, permite al atacante ejecutar código o comandos no autorizados por medio de parámetros diseñados en la ejecución de comandos CLI • https://fortiguard.com/advisory/FG-IR-20-206 • CWE-787: Out-of-bounds Write •

CVSS: 9.0EPSS: 2%CPEs: 2EXPL: 1

An OS command injection vulnerability in FortiWeb's management interface 6.3.7 and below, 6.2.3 and below, 6.1.x, 6.0.x, 5.9.x may allow a remote authenticated attacker to execute arbitrary commands on the system via the SAML server configuration page. Una vulnerabilidad de inyección de comandos del Sistema Operativo en la interfaz de administración de FortiWeb versiones 6.3.7 y por debajo, versiones 6.2.3 y por debajo, versiones 6.1.x, 6.0.x, 5.9.x, puede permitir a un atacante remoto autenticado ejecutar comandos arbitrarios en el sistema por medio de la página de configuración del servidor SAML • https://github.com/murataydemir/CVE-2021-22123 https://fortiguard.com/advisory/FG-IR-20-120 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •

CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 0

An information disclosure vulnerability in Web Vulnerability Scan profile of Fortinet's FortiWeb version 6.2.x below 6.2.4 and version 6.3.x below 6.3.5 may allow a remote authenticated attacker to read the password used by the FortiWeb scanner to access the device defined in the scan profile. Una vulnerabilidad de divulgación de información en el perfil Web Vulnerability Scan de FortiWeb versiones 6.2.x por debajo de 6.2.4 de Fortinet y versiones 6.3.x por debajo de 6.3.5, puede permitir a un atacante autenticado remoto leer la contraseña utilizada por el escáner de FortiWeb para acceder al dispositivo definido en el perfil de escaneo • https://fortiguard.com/advisory/FG-IR-20-076 https://www.fortiguard.com/psirt/FG-IR-20-076 • CWE-522: Insufficiently Protected Credentials •

CVSS: 6.1EPSS: 3%CPEs: 2EXPL: 0

An improper neutralization of input during web page generation in FortiWeb GUI interface 6.3.0 through 6.3.7 and version before 6.2.4 may allow an unauthenticated, remote attacker to perform a reflected cross site scripting attack (XSS) by injecting malicious payload in different vulnerable API end-points. Una neutralización inapropiada de la entrada durante la generación de la página web en la interfaz GUI de FortiWeb versiones 6.3.0 hasta 6.3.7 y la versiones anteriores a 6.2.4, puede permitir a un atacante remoto no autenticado llevar a cabo un ataque de tipo cross site scripting (XSS) reflejado al inyectar una carga útil maliciosa en diferentes endpoints de la API vulnerable • https://fortiguard.com/advisory/FG-IR-20-122 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •

CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0

A blind SQL injection in the user interface of FortiWeb 6.3.0 through 6.3.7 and version before 6.2.4 may allow an unauthenticated, remote attacker to execute arbitrary SQL queries or commands by sending a request with a crafted Authorization header containing a malicious SQL statement. Una inyección SQL ciega en la interfaz de usuario de FortiWeb versiones 6.3.0 hasta 6.3.7 y versiones anteriores a 6.2.4, puede permitir a un atacante no autenticado remoto ejecutar consultas o comandos SQL arbitrarios mediante el envío de una petición con un encabezado Authorization diseñado que contiene una sentencia SQL malicioso • https://www.fortiguard.com/psirt/FG-IR-20-124 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •