CVSS: 5.4EPSS: 0%CPEs: 2EXPL: 0CVE-2023-36633
https://notcve.org/view.php?id=CVE-2023-36633
An improper authorization vulnerability [CWE-285] in FortiMail webmail version 7.2.0 through 7.2.2 and before 7.0.5 allows an authenticated attacker to see and modify the title of address book folders of other users via crafted HTTP or HTTPs requests. Una vulnerabilidad de autorización inadecuada [CWE-285] en el correo web FortiMail versión 7.2.0 a 7.2.2 y anteriores a 7.0.5 permite a un atacante autenticado ver y modificar el título de las carpetas de la libreta de direcciones de otros usuarios a través de solicitudes HTTP o HTTP manipuladas. • https://fortiguard.com/psirt/FG-IR-23-203 • CWE-285: Improper Authorization CWE-732: Incorrect Permission Assignment for Critical Resource •
CVSS: 7.3EPSS: 0%CPEs: 5EXPL: 0CVE-2023-45582
https://notcve.org/view.php?id=CVE-2023-45582
An improper restriction of excessive authentication attempts vulnerability [CWE-307] in FortiMail webmail version 7.2.0 through 7.2.4, 7.0.0 through 7.0.6 and before 6.4.8 may allow an unauthenticated attacker to perform a brute force attack on the affected endpoints via repeated login attempts. Una vulnerabilidad de restricción inadecuada de intentos excesivos de autenticación [CWE-307] en el correo web FortiMail versión 7.2.0 a 7.2.4, 7.0.0 a 7.0.6 y anteriores a 6.4.8 puede permitir que un atacante no autenticado realice un ataque de fuerza bruta en los endpoints afectados mediante repetidos intentos de inicio de sesión. • https://fortiguard.com/psirt/FG-IR-23-287 • CWE-307: Improper Restriction of Excessive Authentication Attempts •
CVSS: 5.4EPSS: 0%CPEs: 4EXPL: 0CVE-2023-36637
https://notcve.org/view.php?id=CVE-2023-36637
An improper neutralization of input during web page generation vulnerability [CWE-79] in FortiMail version 7.2.0 through 7.2.2 and before 7.0.5 allows an authenticated attacker to inject HTML tags in FortiMail's calendar via input fields. Una neutralización inadecuada de la vulnerabilidad de entrada durante la generación de páginas web [CWE-79] en FortiMail versión 7.2.0 a 7.2.2 y anteriores a 7.0.5 permite a un atacante autenticado inyectar etiquetas HTML en el calendario de FortiMail a través de campos de entrada. • https://fortiguard.com/psirt/FG-IR-23-194 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 8.8EPSS: 0%CPEs: 7EXPL: 0CVE-2023-36556
https://notcve.org/view.php?id=CVE-2023-36556
An incorrect authorization vulnerability [CWE-863] in FortiMail webmail version 7.2.0 through 7.2.2, version 7.0.0 through 7.0.5 and below 6.4.7 allows an authenticated attacker to login on other users accounts from the same web domain via crafted HTTP or HTTPs requests. Una vulnerabilidad de autorización incorrecta [CWE-863] en el correo web FortiMail versión 7.2.0 a 7.2.2, versión 7.0.0 a 7.0.5 e inferior a 6.4.7 permite a un atacante autenticado iniciar sesión en cuentas de otros usuarios desde el mismo dominio web a través de solicitudes HTTP o HTTPs manipuladas. • https://fortiguard.com/psirt/FG-IR-23-202 • CWE-863: Incorrect Authorization •
CVSS: 8.6EPSS: 0%CPEs: 24EXPL: 0CVE-2022-26122
https://notcve.org/view.php?id=CVE-2022-26122
An insufficient verification of data authenticity vulnerability [CWE-345] in FortiClient, FortiMail and FortiOS AV engines version 6.2.168 and below and version 6.4.274 and below may allow an attacker to bypass the AV engine via manipulating MIME attachment with junk and pad characters in base64. Una verificación insuficiente de la vulnerabilidad de autenticidad de datos [CWE-345] en los motores FortiClient, FortiMail y FortiOS AV versión 6.2.168 e inferiores y la versión 6.4.274 e inferiores puede permitir a un atacante eludir el motor AV mediante la manipulación del archivo adjunto MIME con basura y pad. caracteres en base64. • https://fortiguard.com/psirt/FG-IR-22-074 • CWE-345: Insufficient Verification of Data Authenticity •