CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 0CVE-2022-26114
https://notcve.org/view.php?id=CVE-2022-26114
An improper neutralization of input during web page generation vulnerability [CWE-79] in the Webmail of FortiMail before 7.2.0 may allow an unauthenticated attacker to trigger a cross-site scripting (XSS) attack via sending specially crafted mail messages. Una vulnerabilidad de neutralización inapropiada de la entrada durante la generación de la página web [CWE-79] en el Webmail de FortiMail versiones anteriores a 7.2.0 puede permitir a un atacante no autenticado desencadenar un ataque de tipo cross-site scripting (XSS) por medio del envío de mensajes de correo especialmente diseñados. • https://fortiguard.com/psirt/FG-IR-21-045 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.8EPSS: 0%CPEs: 3EXPL: 0CVE-2022-30298
https://notcve.org/view.php?id=CVE-2022-30298
An improper privilege management vulnerability [CWE-269] in Fortinet FortiSOAR before 7.2.1 allows a GUI user who has already found a way to modify system files (via another, unrelated and hypothetical exploit) to execute arbitrary Python commands as root. Una vulnerabilidad de administración de privilegios inapropiada [CWE-269] en Fortinet FortiSOAR versiones anteriores a 7.2.1, permite a un usuario de la Interfaz Gráfica de Usuario que ya ha encontrado la forma de modificar los archivos del sistema (por medio de otra explotación no relacionado e hipotético) ejecutar comandos arbitrarios de Python como root. • https://fortiguard.com/psirt/FG-IR-22-152 • CWE-269: Improper Privilege Management •
CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 0CVE-2022-29062
https://notcve.org/view.php?id=CVE-2022-29062
Multiple relative path traversal vulnerabilities [CWE-23] in Fortinet FortiSOAR before 7.2.1 allows an authenticated attacker to write to the underlying filesystem with nginx permissions via crafted HTTP requests. Múltiples vulnerabilidades de salto de ruta relativo [CWE-23] en Fortinet FortiSOAR versiones anteriores a 7.2.1 permiten a un atacante autenticado escribir en el sistema de archivos subyacente con permisos de nginx por medio de peticiones HTTP diseñadas. • https://fortiguard.com/psirt/FG-IR-22-154 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 3.3EPSS: 0%CPEs: 5EXPL: 0CVE-2022-29053
https://notcve.org/view.php?id=CVE-2022-29053
A missing cryptographic steps vulnerability [CWE-325] in the functions that encrypt the keytab files in FortiOS version 7.2.0, 7.0.0 through 7.0.5 and below 7.0.0 may allow an attacker in possession of the encrypted file to decipher it. Una vulnerabilidad de pasos criptográficos faltantes [CWE-325] en las funciones que cifran los archivos keytab en FortiOS versiones 7.2.0, 7.0.0 hasta 7.0.5 y anteriores a 7.0.0, puede permitir a un atacante en posesión del archivo cifrado descifrarlo. • https://fortiguard.com/psirt/FG-IR-22-158 •
CVSS: 7.8EPSS: 0%CPEs: 15EXPL: 0CVE-2022-29058
https://notcve.org/view.php?id=CVE-2022-29058
An improper neutralization of special elements [CWE-89] used in an OS command vulnerability [CWE-78] in the command line interpreter of FortiAP 6.0.0 through 6.4.7, 7.0.0 through 7.0.3, 7.2.0, FortiAP-S 6.0.0 through 6.4.7, FortiAP-W2 6.0.0 through 6.4.7, 7.0.0 through 7.0.3, 7.2.0 and FortiAP-U 5.4.0 through 6.2.3 may allow an authenticated attacker to execute unauthorized commands via specifically crafted arguments to existing commands. Una neutralización inapropiada de elementos especiales [CWE-89] usados en una vulnerabilidad de comandos del Sistema Operativo [CWE-78] en el intérprete de línea de comandos de FortiAP versiones 6.0.0 hasta 6.4.7, 7.0.0 hasta 7.0.3, 7.2.0, FortiAP-S versiones 6.0.0 hasta 6.4. 7, FortiAP-W2 versiones 6.0.0 hasta 6.4.7, 7.0.0 hasta 7.0.3, 7.2.0 y FortiAP-U versiones 5.4.0 hasta 6.2.3, pueden permitir a un atacante autenticado ejecutar comandos no autorizados por medio de argumentos específicamente diseñados para comandos existentes. • https://fortiguard.com/psirt/FG-IR-21-163 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •