CVE-2021-36192
https://notcve.org/view.php?id=CVE-2021-36192
An exposure of sensitive information to an unauthorized actor [CWE-200] vulnerability in FortiManager 7.0.1 and below, 6.4.6 and below, 6.2.x, 6.0.x, 5.6.0 may allow a FortiGate user to see scripts from other ADOMS. Una vulnerabilidad de exposición de información confidencial a un actor no autorizado [CWE-200] en FortiManager versiones 7.0.1 y anteriores, 6.4.6 y anteriores, 6.2.x, 6.0.x, 5.6.0, puede permitir a un usuario de FortiGate ver scripts de otros ADOMS • https://fortiguard.com/advisory/FG-IR-21-103 • CWE-200: Exposure of Sensitive Information to an Unauthorized Actor •
CVE-2021-36170
https://notcve.org/view.php?id=CVE-2021-36170
An information disclosure vulnerability [CWE-200] in FortiAnalyzerVM and FortiManagerVM versions 7.0.0 and 6.4.6 and below may allow an authenticated attacker to read the FortiCloud credentials which were used to activate the trial license in cleartext. Una vulnerabilidad de divulgación de información [CWE-200] en FortiAnalyzerVM y FortiManagerVM versiones 7.0.0 y 6.4.6 y por debajo, puede permitir a un atacante autenticado leer las credenciales de FortiCloud que fueron usadas para activar la licencia de prueba en texto sin cifrar • https://fortiguard.com/advisory/FG-IR-21-112 • CWE-522: Insufficiently Protected Credentials •
CVE-2021-24017
https://notcve.org/view.php?id=CVE-2021-24017
An improper authentication in Fortinet FortiManager version 6.4.3 and below, 6.2.6 and below allows attacker to assign arbitrary Policy and Object modules via crafted requests to the request handler. Una autenticación inapropiada en Fortinet FortiManager versión 6.4.3 y siguientes, versión 6.2.6 y por debajo, permite a un atacante asignar módulos arbitrarios de Políticas y Objetos por medio de peticiones diseñadas al manejador de peticiones • https://fortiguard.com/advisory/FG-IR-20-189 • CWE-287: Improper Authentication •
CVE-2021-24016
https://notcve.org/view.php?id=CVE-2021-24016
An improper neutralization of formula elements in a csv file in Fortinet FortiManager version 6.4.3 and below, 6.2.7 and below allows attacker to execute arbitrary commands via crafted IPv4 field in policy name, when exported as excel file and opened unsafely on the victim host. Una neutralización inapropiada de los elementos de la fórmula en un archivo csv en Fortinet FortiManager versión 6.4.3 y por debajo, versión 6.2.7 y por debajo, permite al atacante ejecutar comandos arbitrarios por medio de un campo IPv4 diseñado en el nombre de la política, cuando se exporta como archivo excel y es abierto de forma no segura en el host víctima • https://fortiguard.com/advisory/FG-IR-20-190 • CWE-1236: Improper Neutralization of Formula Elements in a CSV File •
CVE-2021-24006
https://notcve.org/view.php?id=CVE-2021-24006
An improper access control vulnerability in FortiManager versions 6.4.0 to 6.4.3 may allow an authenticated attacker with a restricted user profile to access the SD-WAN Orchestrator panel via directly visiting its URL. Una vulnerabilidad de control de acceso inapropiado en FortiManager versiones 6.4.0 a 6.4.3, puede permitir que un atacante autenticado con un perfil de usuario restringido acceda al panel de SD-WAN Orchestrator por medio de una visita directa a su URL. • https://fortiguard.com/advisory/FG-IR-20-061 •