CVE-2023-26211
https://notcve.org/view.php?id=CVE-2023-26211
An improper neutralization of input during web page generation ('cross-site scripting') in Fortinet FortiSOAR 7.3.0 through 7.3.2 allows an authenticated, remote attacker to inject arbitrary web script or HTML via the Communications module. • https://fortiguard.com/psirt/FG-IR-23-088 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2022-42473
https://notcve.org/view.php?id=CVE-2022-42473
A missing authentication for a critical function vulnerability in Fortinet FortiSOAR 6.4.0 - 6.4.4 and 7.0.0 - 7.0.3 and 7.2.0 allows an attacker to disclose information via logging into the database using a privileged account without a password. Una autenticación faltante para una vulnerabilidad de función crítica en Fortinet FortiSOAR 6.4.0 - 6.4.4 y 7.0.0 - 7.0.3 y 7.2.0 permite a un atacante revelar información iniciando sesión en la base de datos usando una cuenta privilegiada sin contraseña. • https://fortiguard.com/psirt/FG-IR-22-216 • CWE-306: Missing Authentication for Critical Function •
CVE-2022-29061
https://notcve.org/view.php?id=CVE-2022-29061
An improper neutralization of special elements used in an OS command ('OS Command Injection') vulnerability [CWE-78] in Fortinet FortiSOAR before 7.2.1 allows an authenticated attacker to execute unauthorized code or commands via crafted HTTP GET requests. Una vulnerabilidad de neutralización inapropiada de los elementos especiales usados en un comando OS ("Inyección de comandos del Sistema Operativo") [CWE-78] en Fortinet FortiSOAR versiones anteriores a 7.2.1, permite a un atacante autenticado ejecutar código o comandos no autorizados por medio de peticiones HTTP GET diseñadas • https://fortiguard.com/psirt/FG-IR-22-156 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVE-2022-35847
https://notcve.org/view.php?id=CVE-2022-35847
An improper neutralization of special elements used in a template engine vulnerability [CWE-1336] in FortiSOAR management interface 7.2.0, 7.0.0 through 7.0.3, 6.4.0 through 6.4.4 may allow a remote and authenticated attacker to execute arbitrary code via a crafted payload. Una vulnerabilidad de neutralización inapropiada de los elementos especiales usados en el motor de plantillas [CWE-1336] en la interfaz de administración de FortiSOAR versiones 7.2.0, 7.0.0 hasta 7.0.3, 6.4.0 hasta 6.4.4 puede permitir a un atacante remoto y autenticado ejecutar código arbitrario por medio de una carga útil diseñada. • https://fortiguard.com/psirt/FG-IR-22-306 • CWE-94: Improper Control of Generation of Code ('Code Injection') •
CVE-2022-30298
https://notcve.org/view.php?id=CVE-2022-30298
An improper privilege management vulnerability [CWE-269] in Fortinet FortiSOAR before 7.2.1 allows a GUI user who has already found a way to modify system files (via another, unrelated and hypothetical exploit) to execute arbitrary Python commands as root. Una vulnerabilidad de administración de privilegios inapropiada [CWE-269] en Fortinet FortiSOAR versiones anteriores a 7.2.1, permite a un usuario de la Interfaz Gráfica de Usuario que ya ha encontrado la forma de modificar los archivos del sistema (por medio de otra explotación no relacionado e hipotético) ejecutar comandos arbitrarios de Python como root. • https://fortiguard.com/psirt/FG-IR-22-152 • CWE-269: Improper Privilege Management •