CVE-2020-9289
https://notcve.org/view.php?id=CVE-2020-9289
Use of a hard-coded cryptographic key to encrypt password data in CLI configuration in FortiManager 6.2.3 and below, FortiAnalyzer 6.2.3 and below may allow an attacker with access to the CLI configuration or the CLI backup file to decrypt the sensitive data, via knowledge of the hard-coded key. Un uso de una clave criptográfica embebida para cifrar datos de contraseña en la configuración de la CLI en FortiManager versiones 6.2.3 y posteriores, FortiAnalyzer versiones 6.2.3 y posteriores puede permitir a un atacante con acceso a la configuración de la CLI o al archivo de copia de seguridad de la CLI descifrar los datos confidenciales, por medio del conocimiento de la clave embebida • https://github.com/synacktiv/CVE-2020-9289 https://fortiguard.com/psirt/FG-IR-19-007 • CWE-798: Use of Hard-coded Credentials •
CVE-2020-6640
https://notcve.org/view.php?id=CVE-2020-6640
An improper neutralization of input vulnerability in the Admin Profile of FortiAnalyzer may allow a remote authenticated attacker to perform a stored cross site scripting attack (XSS) via the Description Area. Una vulnerabilidad de neutralización inapropiada de la entrada en el Admin Profile de FortiAnalyzer puede permitir a un atacante autenticado remoto llevar a cabo un ataque de tipo cross site scripting (XSS) almacenado mediante el Área Description • https://fortiguard.com/advisory/FG-IR-20-003 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2019-17657
https://notcve.org/view.php?id=CVE-2019-17657
An Uncontrolled Resource Consumption vulnerability in Fortinet FortiSwitch below 3.6.11, 6.0.6 and 6.2.2, FortiAnalyzer below 6.2.3, FortiManager below 6.2.3 and FortiAP-S/W2 below 6.2.2 may allow an attacker to cause admin webUI denial of service (DoS) via handling special crafted HTTP requests/responses in pieces slowly, as demonstrated by Slow HTTP DoS Attacks. Una vulnerabilidad de Consumo No Controlado de Recursos en Fortinet FortiSwitch por debajo de las versiones 3.6.11, 6.0.6 y 6.2.2, FortiAnalyzer por debajo de las versiones 6.2.3, FortiManager por debajo de las funciones 6.2.3 y FortiAP-S/W2 por debajo de las versiones 6.2.2, puede permitir a un atacante causar una denegación de servicio (DoS) de la Interfaz de Usuario Web Administrativa mediante el manejo de peticiones y respuestas HTTP especialmente diseñadas en partes lentamente, como es demostrado por los Ataques de DoS de HTTP Lento. • https://fortiguard.com/psirt/FG-IR-19-013 • CWE-400: Uncontrolled Resource Consumption •
CVE-2018-1354
https://notcve.org/view.php?id=CVE-2018-1354
An improper access control vulnerability in Fortinet FortiManager 6.0.0, 5.6.5 and below versions, FortiAnalyzer 6.0.0, 5.6.5 and below versions allows a regular user edit the avatar picture of other users with arbitrary content. Una vulnerabilidad de control de acceso incorrecto en Fortinet FortiManager en versiones 6.0.0 y 5.6.5 y anteriores y FortiAnalyzer en versiones 6.0.0 y 5.6.5 y anteriores permite que un usuario regular edite la imagen de avatar de otros usuarios con contenido arbitrario. • http://www.securityfocus.com/bid/104537 http://www.securitytracker.com/id/1041182 http://www.securitytracker.com/id/1041183 https://fortiguard.com/advisory/FG-IR-18-014 • CWE-732: Incorrect Permission Assignment for Critical Resource •
CVE-2018-1355
https://notcve.org/view.php?id=CVE-2018-1355
An open redirect vulnerability in Fortinet FortiManager 6.0.0, 5.6.5 and below versions, FortiAnalyzer 6.0.0, 5.6.5 and below versions allows attacker to inject script code during converting a HTML table to a PDF document under the FortiView feature. An attacker may be able to social engineer an authenticated user into generating a PDF file containing injected malicious URLs. Una vulnerabilidad de redirección abierta en Fortinet FortiManager en versiones 6.0.0, 5.6.5 y anteriores y en FortiAnalyzer en versiones 6.0.0, 5.6.5 y anteriores permite que un atacante inyecte código de script durante la conversión de una tabla HTML a documento HTML en la característica FortiView. Un atacante podría ser capaz de emplear ingeniería social sobre un usuario autenticado para que genere un archivo PDF que contiene URL maliciosas inyectadas. • http://www.securityfocus.com/bid/104546 http://www.securitytracker.com/id/1041184 http://www.securitytracker.com/id/1041185 https://fortiguard.com/advisory/FG-IR-18-022 • CWE-601: URL Redirection to Untrusted Site ('Open Redirect') •