Zpětná vazba k reportu

Autentizovanému lokálnemu útočníkovi je v FortiWeb umožnené neoprávnene zobrazovať hash hesiel pomocou príkazového riadku alebo HTTP požiadaviek [1].

Zraniteľnosť sa nachádza v produkte FortiWeb vo verziách (>=7.4.0 AND <7.4.1) OR (>=7.2.0 AND <7.2.5) OR (>=7.0.0 AND <7.0.9)

CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/E:P/RL:X/RC:C

Viac informácií:

• CVE-2024-23107 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-200: Exposure of Sensitive Information to an Unauthorized Actor at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 14. 5. 2024.

Autentizovanému vzdialenému útočníkovi je v FortiSOAR potencionálne umožnené čítať textové heslá z konektorov pomocou HTTP požiadaviek [2].

Zraniteľnosť sa nachádza v produkte FortiSOAR vo verziách >=7.3.0 AND <7.3.1

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/E:U

Viac informácií:

• CVE-2024-31493 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-212: Improper Removal of Sensitive Information Before Storage or Transfer at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 14. 5. 2024.

Autentizovanému vzdialenému útočníkovi s právami zákazníka je v FortiPortal umožnené neoprávnene pristupovať k informáciám o iných zákazníkoch pomocou špeciálne vytvorených HTTP požiadaviek [3].

Zraniteľnosť sa nachádza v produkte FortiPortal vo verziách >=6.0.0 AND <6.0.15

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N/E:P/RL:X/RC:X

Viac informácií:

• CVE-2023-48789 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-602: Client-Side Enforcement of Server-Side Security at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 14. 5. 2024.

Autentizovanému vzdialenému útočníkovi je v FortiWeb umožnené neoprávnene vykonávať operácie s administrátorskými doménami pomocou špeciálne vytvorených požiadaviek [4].

Zraniteľnosť sa nachádza v produkte FortiWeb vo verziách (>=7.4.0 AND <7.4.3) OR (>=7.2.0 AND <7.2.8) OR (>=7.0.0 AND <7.1.0) OR (>=6.4.0 AND <6.5.0) OR (>=6.3.0 AND <6.4.0)

CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:L/A:N/E:P/RL:X/RC:C

Viac informácií:

• CVE-2024-23665 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-285: Improper Authorization at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 14. 5. 2024.

Neautentizovanému vzdialenému útočníkovi je v FortiAuthenticator umožnené presmerovávať obete útoku na potencionálne škodlivé webstránky pomocou špeciálne vytvorených URL [6].

Zraniteľnosť sa nachádza v produkte FortiAuthenticator vo verziách (>=6.6.0 AND <6.6.1) OR (>=6.5.0 AND <6.5.4) OR (>=6.4.0 AND <6.5.0)

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N/E:P/RL:U/RC:C

Viac informácií:

• CVE-2024-23664 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-601: URL Redirection to Untrusted Site ('Open Redirect') at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 14. 6. 2024.

Autentizovanému vzdialenému útočníkovi s právami na čítanie je v FortiWebManager umožnené vykonávať neoprávnené akcie pomocou HTTP požiadaviek alebo pomocou príkazového riadku [5].

Zraniteľnosť sa nachádza v produkte FortiWebManager vo verziách (>=7.2.0 AND <7.2.1) OR (>=7.0.0 AND <7.0.5) OR (>=6.3.0 AND <6.3.1) OR (>=6.2.3 AND <6.2.5) OR (==6.0.2)

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:F

Viac informácií:

• CVE-2024-23667 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CVE-2024-23668 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CVE-2024-23669 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CVE-2024-23670 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-20: Improper Input Validation at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 14. 5. 2024.