CVSS: 8.4EPSS: 0%CPEs: 2EXPL: 0CVE-2021-43066
https://notcve.org/view.php?id=CVE-2021-43066
A external control of file name or path in Fortinet FortiClientWindows version 7.0.2 and below, version 6.4.6 and below, version 6.2.9 and below, version 6.0.10 and below allows attacker to escalate privilege via the MSI installer. Un control externo de nombre de archivo o ruta en Fortinet FortiClientWindows versiones 7.0.2 y anteriores, versiones 6.4.6 y anteriores, versiones 6.2.9 y anteriores, versiones 6.0.10 y anteriores, permite a un atacante escalar privilegios por medio del instalador MSI • https://fortiguard.com/advisory/FG-IR-21-154 • CWE-668: Exposure of Resource to Wrong Sphere •
CVSS: 6.1EPSS: 0%CPEs: 6EXPL: 0CVE-2021-43081
https://notcve.org/view.php?id=CVE-2021-43081
An improper neutralization of input during web page generation vulnerability [CWE-79] in FortiOS version 7.0.3 and below, 6.4.8 and below, 6.2.10 and below, 6.0.14 to 6.0.0. and in FortiProxy version 7.0.1 and below, 2.0.7 to 2.0.0 web filter override form may allow an unauthenticated attacker to perform an XSS attack via crafted HTTP GET requests. Una vulnerabilidad de neutralización inapropiada de la entrada durante la generación de la página web [CWE-79] en FortiOS versión 7.0.3 y anteriores, 6.4.8 y anteriores, 6.2.10 y anteriores, 6.0.14 a 6.0.0. y en FortiProxy versión 7.0.1 y anteriores, 2.0.7 a 2.0.0, el formulario de anulación del filtro web puede permitir a un atacante no autenticado llevar a cabo un ataque de tipo XSS por medio de peticiones HTTP GET diseñadas • https://fortiguard.com/psirt/FG-IR-21-230 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 7.5EPSS: 0%CPEs: 4EXPL: 0CVE-2021-44167
https://notcve.org/view.php?id=CVE-2021-44167
An incorrect permission assignment for critical resource vulnerability [CWE-732] in FortiClient for Linux version 6.0.8 and below, 6.2.9 and below, 6.4.7 and below, 7.0.2 and below may allow an unauthenticated attacker to access sensitive information in log files and directories via symbolic links. Una asignación incorrecta de permisos para la vulnerabilidad de recursos críticos [CWE-732] en FortiClient para Linux versión 6.0.8 y anteriores, 6.2.9 y anteriores, 6.4.7 y anteriores, 7.0.2 y anteriores, puede permitir a un atacante no autenticado acceder a información confidencial en archivos de registro y directorios por medio de enlaces simbólicos • https://fortiguard.com/psirt/FG-IR-21-232 • CWE-732: Incorrect Permission Assignment for Critical Resource •
CVSS: 8.8EPSS: 0%CPEs: 9EXPL: 0CVE-2022-26116
https://notcve.org/view.php?id=CVE-2022-26116
Multiple improper neutralization of special elements used in SQL commands ('SQL Injection') vulnerability [CWE-89] in FortiNAC version 8.3.7 and below, 8.5.2 and below, 8.5.4, 8.6.0, 8.6.5 and below, 8.7.6 and below, 8.8.11 and below, 9.1.5 and below, 9.2.2 and below may allow an authenticated attacker to execute unauthorized code or commands via specifically crafted strings parameters. Múltiples neutralizaciones inapropiadas de elementos especiales usados en comandos SQL ("Inyección SQL") vulnerabilidad [CWE-89] en FortiNAC versiones: 8.3.7 y anteriores, 8.5.2 y anteriores, 8.5.4, 8.6.0, 8.6.5 y anteriores, 8.7.6 y anteriores, 8.8.11 y anteriores, 9.1.5 y anteriores, 9.2.2 y anteriores, pueden permitir a un atacante autenticado ejecutar código o comandos no autorizados por medio de parámetros de cadenas específicamente diseñados • https://fortiguard.com/psirt/FG-IR-22-062 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 4.3EPSS: 0%CPEs: 6EXPL: 0CVE-2021-43206
https://notcve.org/view.php?id=CVE-2021-43206
A server-generated error message containing sensitive information in Fortinet FortiOS 7.0.0 through 7.0.3, 6.4.0 through 6.4.8, 6.2.x, 6.0.x and FortiProxy 7.0.0 through 7.0.1, 2.0.x allows malicious webservers to retrieve a web proxy's client username and IP via same origin HTTP requests triggering proxy-generated HTTP status codes pages. Un mensaje de error generado por el servidor que contiene información confidencial en Fortinet FortiOS 7.0.0 a 7.0.3, 6.4.0 a 6.4.8, 6.2.x, 6.0.x y FortiProxy 7.0.0 a 7.0.1, 2.0.x, permite a servidores web maliciosos recuperar el nombre de usuario y la IP del cliente de un proxy web por medio de peticiones HTTP del mismo origen que provocan páginas de códigos de estado HTTP generadas por el proxy • https://fortiguard.com/psirt/FG-IR-21-231 • CWE-209: Generation of Error Message Containing Sensitive Information •