CVSS: 6.1EPSS: 0%CPEs: 2EXPL: 0CVE-2022-22304
https://notcve.org/view.php?id=CVE-2022-22304
An improper neutralization of input during web page generation vulnerability [CWE-79] in FortiAuthenticator OWA Agent for Microsoft version 2.2 and 2.1 may allow an unauthenticated attacker to perform an XSS attack via crafted HTTP GET requests. Una vulnerabilidad de neutralización inapropiada de la entrada durante la generación de la página web [CWE-79] en el Agente OWA FortiAuthenticator para Microsoft versiones 2.2 y 2.1, puede permitir a un atacante no autenticado llevar a cabo un ataque de tipo XSS por medio de peticiones HTTP GET diseñadas • https://fortiguard.com/psirt/FG-IR-22-021 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.3EPSS: 0%CPEs: 130EXPL: 0CVE-2021-42755
https://notcve.org/view.php?id=CVE-2021-42755
An integer overflow / wraparound vulnerability [CWE-190] in FortiSwitch 7.0.2 and below, 6.4.9 and below, 6.2.x, 6.0.x; FortiRecorder 6.4.2 and below, 6.0.10 and below; FortiOS 7.0.2 and below, 6.4.8 and below, 6.2.10 and below, 6.0.x; FortiProxy 7.0.0, 2.0.6 and below, 1.2.x, 1.1.x, 1.0.x; FortiVoiceEnterprise 6.4.3 and below, 6.0.10 and below dhcpd daemon may allow an unauthenticated and network adjacent attacker to crash the dhcpd deamon, resulting in potential denial of service. Una vulnerabilidad de desbordamiento de enteros / wraparound [CWE-190] en FortiSwitch versiones 7.0.2 y anteriores, 6.4.9 y anteriores, 6.2.x, 6.0.x; FortiRecorder 6.4.2 y anteriores, 6.0.10 y anteriores; FortiOS 7.0.2 y anteriores, 6.4.8 y anteriores, 6.2.10 y anteriores, 6.0.x; FortiProxy 7. 0.0, 2.0.6 y anteriores, 1.2.x, 1.1.x, 1.0.x; FortiVoiceEnterprise 6.4.3 y anteriores, 6.0.10 y anteriores, dhcpd daemon puede permitir a un atacante no autenticado y adyacente a la red bloquear el dhcpd deamon, resultando en una potencial denegación de servicio • https://fortiguard.com/psirt/FG-IR-21-155 • CWE-190: Integer Overflow or Wraparound •
CVSS: 6.7EPSS: 0%CPEs: 8EXPL: 0CVE-2021-44170
https://notcve.org/view.php?id=CVE-2021-44170
A stack-based buffer overflow vulnerability [CWE-121] in the command line interpreter of FortiOS before 7.0.4 and FortiProxy before 2.0.8 may allow an authenticated attacker to execute unauthorized code or commands via specially crafted command line arguments. Una vulnerabilidad de desbordamiento de búfer en la región stack de la memoria [CWE-121] en el intérprete de línea de comandos de FortiOS versiones anteriores a 7.0.4 y FortiProxy versiones anteriores a 2.0.8, puede permitir a un atacante autenticado ejecutar código o comandos no autorizados por medio de argumentos de línea de comandos especialmente diseñados • https://fortiguard.com/psirt/FG-IR-21-179 • CWE-787: Out-of-bounds Write •
CVSS: 8.8EPSS: 0%CPEs: 9EXPL: 0CVE-2022-26117
https://notcve.org/view.php?id=CVE-2022-26117
An empty password in configuration file vulnerability [CWE-258] in FortiNAC version 8.3.7 and below, 8.5.2 and below, 8.5.4, 8.6.0, 8.6.5 and below, 8.7.6 and below, 8.8.11 and below, 9.1.5 and below, 9.2.3 and below may allow an authenticated attacker to access the MySQL databases via the CLI. Una vulnerabilidad de contraseña vacía en el archivo de configuración [CWE-258] en FortiNAC versiones 8.3.7 y anteriores, 8.5.2 y anteriores, 8.5.4, 8.6.0, 8.6.5 y anteriores, 8.7.6 y anteriores, 8.8.11 y anteriores, 9.1.5 y anteriores, 9.2.3 y anteriores puede permitir a un atacante autenticado acceder a las bases de datos MySQL por medio de la CLI • https://fortiguard.com/psirt/FG-IR-22-058 https://github.com/orangecertcc/security-research/security/advisories/GHSA-r259-5p5p-2q47 • CWE-521: Weak Password Requirements •
CVSS: 5.4EPSS: 0%CPEs: 4EXPL: 0CVE-2022-22306
https://notcve.org/view.php?id=CVE-2022-22306
An improper certificate validation vulnerability [CWE-295] in FortiOS 6.0.0 through 6.0.14, 6.2.0 through 6.2.10, 6.4.0 through 6.4.8, 7.0.0 may allow a network adjacent and unauthenticated attacker to man-in-the-middle the communication between the FortiGate and some peers such as private SDNs and external cloud platforms. Una vulnerabilidad de comprobación de certificados inapropiada [CWE-295] en FortiOS versiones 6.0.0 hasta 6.0.14, 6.2.0 hasta 6.2.10, 6.4.0 hasta 6.4.8, 7.0.0 puede permitir a un atacante adyacente a la red y no autenticado interceder en la comunicación entre FortiGate y algunos pares como SDNs privadas y plataformas de nube externas • https://fortiguard.com/psirt/FG-IR-21-239 • CWE-295: Improper Certificate Validation •