CVSS: 8.8EPSS: 0%CPEs: 18EXPL: 0CVE-2022-27488
https://notcve.org/view.php?id=CVE-2022-27488
A cross-site request forgery (CSRF) in Fortinet FortiVoiceEnterprise version 6.4.x, 6.0.x, FortiSwitch version 7.0.0 through 7.0.4, 6.4.0 through 6.4.10, 6.2.0 through 6.2.7, 6.0.x, FortiMail version 7.0.0 through 7.0.3, 6.4.0 through 6.4.6, 6.2.x, 6.0.x FortiRecorder version 6.4.0 through 6.4.2, 6.0.x, 2.7.x, 2.6.x, FortiNDR version 1.x.x allows a remote unauthenticated attacker to execute commands on the CLI via tricking an authenticated administrator to execute malicious GET requests. Cross-Site Request Forgery (CSRF) en Fortinet FortiVoiceEnterprise versión 6.4.x, 6.0.x, FortiSwitch versión 7.0.0 a 7.0.4, 6.4.0 a 6.4.10, 6.2.0 a 6.2.7, 6.0.x , FortiMail versión 7.0.0 a 7.0.3, 6.4.0 a 6.4.6, 6.2.x, 6.0.x FortiRecorder versión 6.4.0 a 6.4.2, 6.0.x, 2.7.x, 2.6.x, FortiNDR versión 1.xx permite que un atacante remoto no autenticado ejecute comandos en la CLI engañando a un administrador autenticado para que ejecute solicitudes GET maliciosas. • https://fortiguard.com/psirt/FG-IR-22-038 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVSS: 5.4EPSS: 0%CPEs: 2EXPL: 0CVE-2023-36633
https://notcve.org/view.php?id=CVE-2023-36633
An improper authorization vulnerability [CWE-285] in FortiMail webmail version 7.2.0 through 7.2.2 and before 7.0.5 allows an authenticated attacker to see and modify the title of address book folders of other users via crafted HTTP or HTTPs requests. Una vulnerabilidad de autorización inadecuada [CWE-285] en el correo web FortiMail versión 7.2.0 a 7.2.2 y anteriores a 7.0.5 permite a un atacante autenticado ver y modificar el título de las carpetas de la libreta de direcciones de otros usuarios a través de solicitudes HTTP o HTTP manipuladas. • https://fortiguard.com/psirt/FG-IR-23-203 • CWE-285: Improper Authorization CWE-732: Incorrect Permission Assignment for Critical Resource •
CVSS: 7.3EPSS: 0%CPEs: 5EXPL: 0CVE-2023-45582
https://notcve.org/view.php?id=CVE-2023-45582
An improper restriction of excessive authentication attempts vulnerability [CWE-307] in FortiMail webmail version 7.2.0 through 7.2.4, 7.0.0 through 7.0.6 and before 6.4.8 may allow an unauthenticated attacker to perform a brute force attack on the affected endpoints via repeated login attempts. Una vulnerabilidad de restricción inadecuada de intentos excesivos de autenticación [CWE-307] en el correo web FortiMail versión 7.2.0 a 7.2.4, 7.0.0 a 7.0.6 y anteriores a 6.4.8 puede permitir que un atacante no autenticado realice un ataque de fuerza bruta en los endpoints afectados mediante repetidos intentos de inicio de sesión. • https://fortiguard.com/psirt/FG-IR-23-287 • CWE-307: Improper Restriction of Excessive Authentication Attempts •
CVSS: 8.8EPSS: 0%CPEs: 7EXPL: 0CVE-2023-36556
https://notcve.org/view.php?id=CVE-2023-36556
An incorrect authorization vulnerability [CWE-863] in FortiMail webmail version 7.2.0 through 7.2.2, version 7.0.0 through 7.0.5 and below 6.4.7 allows an authenticated attacker to login on other users accounts from the same web domain via crafted HTTP or HTTPs requests. Una vulnerabilidad de autorización incorrecta [CWE-863] en el correo web FortiMail versión 7.2.0 a 7.2.2, versión 7.0.0 a 7.0.5 e inferior a 6.4.7 permite a un atacante autenticado iniciar sesión en cuentas de otros usuarios desde el mismo dominio web a través de solicitudes HTTP o HTTPs manipuladas. • https://fortiguard.com/psirt/FG-IR-23-202 • CWE-863: Incorrect Authorization •
CVSS: 5.3EPSS: 0%CPEs: 3EXPL: 0CVE-2022-29056
https://notcve.org/view.php?id=CVE-2022-29056
A improper restriction of excessive authentication attempts vulnerability [CWE-307] in Fortinet FortiMail version 6.4.0, version 6.2.0 through 6.2.4 and before 6.0.9 allows a remote unauthenticated attacker to partially exhaust CPU and memory via sending numerous HTTP requests to the login form. • https://fortiguard.com/psirt/FG-IR-20-078 • CWE-307: Improper Restriction of Excessive Authentication Attempts •