CVSS: 7.5EPSS: 0%CPEs: 5EXPL: 0CVE-2022-27491
https://notcve.org/view.php?id=CVE-2022-27491
A improper verification of source of a communication channel in Fortinet FortiOS with IPS engine version 7.201 through 7.214, 7.001 through 7.113, 6.001 through 6.121, 5.001 through 5.258 and before 4.086 allows a remote and unauthenticated attacker to trigger the sending of "blocked page" HTML data to an arbitrary victim via crafted TCP requests, potentially flooding the victim. Una verificación inapropiada de la fuente de un canal de comunicación en Fortinet FortiOS con motor IPS versiones 7.201 hasta 7.214, 7.001 hasta 7.113, 6.001 hasta 6.121, 5.001 hasta 5.258 y anteriores a 4.086, permite a un atacante remoto y no autenticado desencadenar el envío de datos HTML "blocked page" a una víctima arbitraria por medio de peticiones TCP diseñadas, inundando potencialmente a la víctima. • https://fortiguard.com/psirt/FG-IR-22-073 •
CVSS: 7.8EPSS: 0%CPEs: 20EXPL: 0CVE-2022-22299
https://notcve.org/view.php?id=CVE-2022-22299
A format string vulnerability [CWE-134] in the command line interpreter of FortiADC version 6.0.0 through 6.0.4, FortiADC version 6.1.0 through 6.1.5, FortiADC version 6.2.0 through 6.2.1, FortiProxy version 1.0.0 through 1.0.7, FortiProxy version 1.1.0 through 1.1.6, FortiProxy version 1.2.0 through 1.2.13, FortiProxy version 2.0.0 through 2.0.7, FortiProxy version 7.0.0 through 7.0.1, FortiOS version 6.0.0 through 6.0.14, FortiOS version 6.2.0 through 6.2.10, FortiOS version 6.4.0 through 6.4.8, FortiOS version 7.0.0 through 7.0.2, FortiMail version 6.4.0 through 6.4.5, FortiMail version 7.0.0 through 7.0.2 may allow an authenticated user to execute unauthorized code or commands via specially crafted command arguments. Una vulnerabilidad de cadena de formato [CWE-134] en el intérprete de línea de comandos de FortiADC versión 6.0.0 hasta 6.0.4, FortiADC versión 6.1.0 hasta 6.1.5, FortiADC versión 6.2.0 hasta 6.2.1, FortiProxy versión 1.0.0 hasta 1.0.7, FortiProxy versión 1.1.0 hasta 1.1.6, FortiProxy versión 1.2.0 hasta 1.2.13, FortiProxy versión 2.0.0 hasta 2.0.7, FortiProxy versión 7. 0.0 a 7.0.1, FortiOS versión 6.0.0 hasta 6.0.14, FortiOS versión 6.2.0 hasta 6.2.10, FortiOS versión 6.4.0 hasta 6.4.8, FortiOS versión 7.0.0 hasta 7.0.2, FortiMail versión 6.4.0 hasta 6.4.5, FortiMail versión 7.0.0 hasta 7.0.2, pueden permitir a un usuario autenticado ejecutar código o comandos no autorizados por medio de argumentos de comando especialmente diseñados • https://fortiguard.com/psirt/FG-IR-21-235 • CWE-134: Use of Externally-Controlled Format String •
CVSS: 4.3EPSS: 0%CPEs: 3EXPL: 0CVE-2022-23442
https://notcve.org/view.php?id=CVE-2022-23442
An improper access control vulnerability [CWE-284] in FortiOS versions 6.2.0 through 6.2.11, 6.4.0 through 6.4.8 and 7.0.0 through 7.0.5 may allow an authenticated attacker with a restricted user profile to gather the checksum information about the other VDOMs via CLI commands. Una vulnerabilidad de control de acceso inadecuado [CWE-284] en FortiOS versiones 6.2.0 a 6.2.11, 6.4.0 a 6.4.8 y 7.0.0 a 7.0.5, puede permitir a un atacante autenticado con un perfil de usuario restringido recopilar la información de la suma de comprobación sobre los otros VDOMs por medio de comandos CLI • https://fortiguard.com/psirt/FG-IR-22-036 •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2022-27484
https://notcve.org/view.php?id=CVE-2022-27484
A unverified password change in Fortinet FortiADC version 6.2.0 through 6.2.3, 6.1.x, 6.0.x, 5.x.x allows an authenticated attacker to bypass the Old Password check in the password change form via a crafted HTTP request. Un cambio de contraseña no verificado en Fortinet FortiADC versiones 6.2.0 hasta 6.2.3, 6.1.x, 6.0.x, 5.x.x, permite a un atacante autenticado omitir la comprobación de la contraseña antigua en el formulario de cambio de contraseña por medio de una petición HTTP diseñada • https://fortiguard.com/psirt/FG-IR-22-055 • CWE-287: Improper Authentication •
CVSS: 5.4EPSS: 0%CPEs: 10EXPL: 0CVE-2022-29057
https://notcve.org/view.php?id=CVE-2022-29057
A improper neutralization of input during web page generation ('cross-site scripting') in Fortinet FortiEDR version 5.1.0, 5.0.0 through 5.0.3 Patch 6 and 4.0.0 allows a remote authenticated attacker to perform a reflected cross site scripting attack (XSS) by injecting malicious payload into the Management Console via various endpoints. Una neutralización inapropiada de la entrada durante la generación de la página web ("cross-site scripting") en Fortinet FortiEDR versiones 5.1.0, 5.0.0 hasta 5.0.3 Patch 6 y 4.0.0, permite a un atacante remoto autenticado llevar a cabo un ataque de tipo cross site scripting (XSS) reflejado al inyectar una carga maliciosa en la Consola de Administración por medio de varios endpoints. • https://fortiguard.com/psirt/FG-IR-22-077 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •