CVSS: 8.8EPSS: 0%CPEs: 10EXPL: 0CVE-2022-22300
https://notcve.org/view.php?id=CVE-2022-22300
A improper handling of insufficient permissions or privileges in Fortinet FortiAnalyzer version 5.6.0 through 5.6.11, FortiAnalyzer version 6.0.0 through 6.0.11, FortiAnalyzer version 6.2.0 through 6.2.9, FortiAnalyzer version 6.4.0 through 6.4.7, FortiAnalyzer version 7.0.0 through 7 .0.2, FortiManager version 5.6.0 through 5.6.11, FortiManager version 6.0.0 through 6.0.11, FortiManager version 6.2.0 through 6.2.9, FortiManager version 6.4.0 through 6.4.7, FortiManager version 7.0.0 through 7.0.2 allows attacker to bypass the device policy and force the password-change action for its user. Un manejo inapropiado de permisos o privilegios insuficientes en Fortinet FortiAnalyzer versiones 5.6.0 hasta 5.6.11, FortiAnalyzer versiones 6.0.0 hasta 6.0.11, FortiAnalyzer versiones 6.2.0 hasta 6.2.9, FortiAnalyzer versiones 6.4.0 hasta 6.4.7, FortiAnalyzer versiones 7.0.0 hasta 7 .0. 2, FortiManager versiones 5.6.0 hasta 5.6.11, FortiManager versiones 6.0.0 hasta 6.0.11, FortiManager versiones 6.2.0 hasta 6.2.9, FortiManager versiones 6.4.0 hasta 6.4.7, FortiManager versiones 7.0.0 hasta 7.0.2, permite a un atacante omitir la política del dispositivo y forzar la acción de cambio de contraseña para su usuario. • https://fortiguard.com/psirt/FG-IR-21-255 • CWE-755: Improper Handling of Exceptional Conditions •
CVSS: 9.0EPSS: 0%CPEs: 4EXPL: 0CVE-2021-43075
https://notcve.org/view.php?id=CVE-2021-43075
A improper neutralization of special elements used in an os command ('os command injection') in Fortinet FortiWLM version 8.6.2 and below, version 8.5.2 and below, version 8.4.2 and below, version 8.3.2 and below allows attacker to execute unauthorized code or commands via crafted HTTP requests to the alarm dashboard and controller config handlers. Una neutralización inapropiada de los elementos especiales usados en un comando os ("inyección de comando del sistema operativo") en Fortinet FortiWLM versiones 8.6.2 y anteriores, versiones 8.5.2 y anteriores, versiones 8.4.2 y anteriores, versiones 8.3.2 y anteriores, permite al atacante ejecutar código o comandos no autorizados por medio de peticiones HTTP diseñadas a manejadores del tablero de alarmas y de la configuración del controlador. • https://fortiguard.com/advisory/FG-IR-21-128 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 9.8EPSS: 0%CPEs: 5EXPL: 0CVE-2021-32586
https://notcve.org/view.php?id=CVE-2021-32586
An improper input validation vulnerability in the web server CGI facilities of FortiMail before 7.0.1 may allow an unauthenticated attacker to alter the environment of the underlying script interpreter via specifically crafted HTTP requests. Una vulnerabilidad de comprobación de entrada inapropiada en las instalaciones CGI del servidor web de FortiMail versiones anteriores a 7.0.1, puede permitir a un atacante no autenticado alterar el entorno del intérprete de scripts subyacente por medio de peticiones HTTP específicamente diseñadas. • https://fortiguard.com/psirt/FG-IR-21-008 • CWE-20: Improper Input Validation •
CVSS: 9.8EPSS: 0%CPEs: 5EXPL: 0CVE-2021-36166
https://notcve.org/view.php?id=CVE-2021-36166
An improper authentication vulnerability in FortiMail before 7.0.1 may allow a remote attacker to efficiently guess one administrative account's authentication token by means of the observation of certain system's properties. Una vulnerabilidad de autenticación inapropiada en FortiMail versiones anteriores a 7.0.1, puede permitir a un atacante remoto adivinar eficazmente el token de autenticación de una cuenta administrativa mediante la observación de determinadas propiedades del sistema. • https://fortiguard.com/psirt/FG-IR-21-028 • CWE-330: Use of Insufficiently Random Values •
CVSS: 8.1EPSS: 0%CPEs: 8EXPL: 0CVE-2021-36171
https://notcve.org/view.php?id=CVE-2021-36171
The use of a cryptographically weak pseudo-random number generator in the password reset feature of FortiPortal before 6.0.6 may allow a remote unauthenticated attacker to predict parts of or the whole newly generated password within a given time frame. El uso de un generador de números pseudoaleatorios criptográficamente débil en la funcionalidad password reset de FortiPortal versiones anteriores a 6.0.6, puede permitir a un atacante remoto no autenticado predecir partes o la totalidad de la contraseña recién generada en un plazo determinado. • https://fortiguard.com/psirt/FG-IR-21-099 • CWE-338: Use of Cryptographically Weak Pseudo-Random Number Generator (PRNG) •