CVSS: 5.4EPSS: 0%CPEs: 3EXPL: 0CVE-2020-15940
https://notcve.org/view.php?id=CVE-2020-15940
An improper neutralization of input vulnerability [CWE-79] in FortiClientEMS versions 6.4.1 and below and 6.2.9 and below may allow a remote authenticated attacker to inject malicious script/tags via the name parameter of various sections of the server. Una vulnerabilidad de neutralización inapropiada de la entrada [CWE-79] en FortiClientEMS versiones 6.4.1 y por debajo y 6.2.9 y por debajo, puede permitir a un atacante remoto autenticado inyectar scripts/etiquetas maliciosas por medio del parámetro name de varias secciones del servidor • https://fortiguard.com/advisory/FG-IR-20-067 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2021-41019
https://notcve.org/view.php?id=CVE-2021-41019
An improper validation of certificate with host mismatch [CWE-297] vulnerability in FortiOS versions 6.4.6 and below may allow the connection to a malicious LDAP server via options in GUI, leading to disclosure of sensitive information, such as AD credentials. Una vulnerabilidad de comprobación inapropiada de certificado con desajuste de host [CWE-297] en FortiOS versiones 6.4.6 y por debajo, de puede permitir la conexión a un servidor LDAP malicioso por medio de las opciones de la interfaz gráfica de usuario, conllevando a una divulgación de información confidencial, como las credenciales de AD • https://fortiguard.com/advisory/FG-IR-21-074 • CWE-295: Improper Certificate Validation •
CVSS: 8.1EPSS: 0%CPEs: 8EXPL: 0CVE-2021-36172
https://notcve.org/view.php?id=CVE-2021-36172
An improper restriction of XML external entity reference vulnerability in the parser of XML responses of FortiPortal before 6.0.6 may allow an attacker who controls the producer of XML reports consumed by FortiPortal to trigger a denial of service or read arbitrary files from the underlying file system by means of specifically crafted XML documents. Una vulnerabilidad de restricción inapropiada de referencias a entidades externas XML en el analizador de respuestas XML de FortiPortal versiones anteriores a 6.0.6, puede permitir a un atacante que controle el productor de informes XML consumidos por FortiPortal desencadenar una denegación de servicio o leer archivos arbitrarios del sistema de archivos subyacente mediante documentos XML específicamente diseñados • https://fortiguard.com/advisory/FG-IR-21-104 • CWE-611: Improper Restriction of XML External Entity Reference •
CVSS: 3.5EPSS: 0%CPEs: 1EXPL: 0CVE-2021-36181
https://notcve.org/view.php?id=CVE-2021-36181
A concurrent execution using shared resource with improper Synchronization vulnerability ('Race Condition') in the customer database interface of FortiPortal before 6.0.6 may allow an authenticated, low-privilege user to bring the underlying database data into an inconsistent state via specific coordination of web requests. Una ejecución concurrente usando un recurso compartido con una vulnerabilidad de sincronización inapropiada ("Condición de carrera") en la interfaz de la base de datos de clientes de FortiPortal versiones anteriores a 6.0.6, puede permitir a un usuario autenticado y poco privilegiado llevar los datos de la base de datos subyacente a un estado inconsistente por medio de una coordinación específica de peticiones web • https://fortiguard.com/advisory/FG-IR-21-102 • CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') •
CVSS: 5.4EPSS: 0%CPEs: 2EXPL: 0CVE-2021-24021
https://notcve.org/view.php?id=CVE-2021-24021
An improper neutralization of input vulnerability [CWE-79] in FortiAnalyzer versions 6.4.3 and below, 6.2.7 and below and 6.0.10 and below may allow a remote authenticated attacker to perform a stored cross site scripting attack (XSS) via the column settings of Logview in FortiAnalyzer, should the attacker be able to obtain that POST request, via other, hypothetical attacks. Una vulnerabilidad de neutralización inapropiada de la entrada [CWE-79] en FortiAnalyzer versiones 6.4.3 y por debajo, 6.2.7 y por debajo y 6.0.10 y por debajo, puede permitir a un atacante remoto autenticado llevar a cabo un ataque de tipo cross site scripting attack (XSS) almacenado por medio de la configuración de la columna de Logview en FortiAnalyzer, si el atacante es capaz de obtener esa petición POST, por medio de otros ataques hipotéticos • https://fortiguard.com/advisory/FG-IR-20-098 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •