CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2021-24019
https://notcve.org/view.php?id=CVE-2021-24019
An insufficient session expiration vulnerability [CWE- 613] in FortiClientEMS versions 6.4.2 and below, 6.2.8 and below may allow an attacker to reuse the unexpired admin user session IDs to gain admin privileges, should the attacker be able to obtain that session ID (via other, hypothetical attacks) Una vulnerabilidad de caducidad de sesión insuficiente [CWE- 613] en FortiClientEMS versiones 6.4.2 y por debajo, versiones 6.2.8 y por debajo, puede permitir a un atacante reusar los ID de sesión del usuario administrador no caducados para obtener privilegios de administrador, si el atacante es capaz de obtener ese ID de sesión (por medio de otros ataques hipotéticos) • https://fortiguard.com/advisory/FG-IR-20-072 • CWE-613: Insufficient Session Expiration •
CVSS: 5.4EPSS: 0%CPEs: 1EXPL: 0CVE-2021-36175
https://notcve.org/view.php?id=CVE-2021-36175
An improper neutralization of input vulnerability [CWE-79] in FortiWebManager versions 6.2.3 and below, 6.0.2 and below may allow a remote authenticated attacker to inject malicious script/tags via the name/description/comments parameter of various sections of the device. Una vulnerabilidad de neutralización inapropiada de entradas [CWE-79] en FortiWebManager versiones 6.2.3 y por debajo, 6.0.2 y por debajo; puede permitir a un atacante remoto autenticado inyectar scripts/etiquetas maliciosas por medio del parámetro name/description/comments de varias secciones del dispositivo • https://fortiguard.com/advisory/FG-IR-20-027 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 5.5EPSS: 0%CPEs: 2EXPL: 0CVE-2020-15941
https://notcve.org/view.php?id=CVE-2020-15941
A path traversal vulnerability [CWE-22] in FortiClientEMS versions 6.4.1 and below; 6.2.8 and below may allow an authenticated attacker to inject directory traversal character sequences to add/delete the files of the server via the name parameter of Deployment Packages. Una vulnerabilidad de salto de ruta [CWE-22] en FortiClientEMS versiones 6.4.1 y por debajo; versiones 6.2.8 y por debajo, puede permitir a un atacante autenticado inyectar secuencias de caracteres de salto de directorio para añadir/borrar los archivos del servidor por medio del parámetro name de Deployment Packages • https://fortiguard.com/advisory/FG-IR-20-074 • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVSS: 3.2EPSS: 0%CPEs: 4EXPL: 0CVE-2021-36170
https://notcve.org/view.php?id=CVE-2021-36170
An information disclosure vulnerability [CWE-200] in FortiAnalyzerVM and FortiManagerVM versions 7.0.0 and 6.4.6 and below may allow an authenticated attacker to read the FortiCloud credentials which were used to activate the trial license in cleartext. Una vulnerabilidad de divulgación de información [CWE-200] en FortiAnalyzerVM y FortiManagerVM versiones 7.0.0 y 6.4.6 y por debajo, puede permitir a un atacante autenticado leer las credenciales de FortiCloud que fueron usadas para activar la licencia de prueba en texto sin cifrar • https://fortiguard.com/advisory/FG-IR-21-112 • CWE-522: Insufficiently Protected Credentials •
CVSS: 6.5EPSS: 0%CPEs: 1EXPL: 0CVE-2021-36178
https://notcve.org/view.php?id=CVE-2021-36178
A insufficiently protected credentials in Fortinet FortiSDNConnector version 1.1.7 and below allows attacker to disclose third-party devices credential information via configuration page lookup. Una protección insuficiente de las credenciales en Fortinet FortiSDNConnector versión 1.1.7 y por debajo, permite a un atacante divulgar información de credenciales de dispositivos de terceros por medio de la búsqueda en la página de configuración • https://fortiguard.com/advisory/FG-IR-20-183 • CWE-522: Insufficiently Protected Credentials •