Forticlient Endpoint Management Server
Уязвимости
6
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.03841
Распределение по критичности
Критический
1
Высокий
2
Средний
3
Низкий
0
Затронутые диапазоны версий
1.2.1–1.2.56.0.0–6.0.86.2.0–6.2.9< 6.2.9
Также сопоставлено как (исходные строки): forticlient,forticlient_endpoint_management_server
Топ уязвимостей
CVE-2021-24019Уязвимость недостаточного истечения срока действия сеанса [CWE-613] в FortiClientEMS версий 6.4.2 и ниже, 6.2.8 и ниже может позволить злоумышленнику повторно использовать неистекшие идентификаторы сеанса пользователя-администратора для получения прав администратора, если злоумышленник сможет получить этот идентификатор сеанса (через другие, гипотетические атаки).
CVE-2023-47534Неправильная нейтрализация элементов формул в CSV-файле в Fortinet FortiClientEMS версий с 7.2.0 по 7.2.2, с 7.0.0 по 7.0.10, с 6.4.0 по 6.4.9, с 6.2.0 по 6.2.9, с 6.0.0 по 6.0.8 позволяет злоумышленнику выполнять неавторизованный код или команды через специально созданные пакеты.
CVE-2021-41028Комбинация уязвимости использования жестко закодированного криптографического ключа [CWE-321] в FortiClientEMS 7.0.1 и ниже, 6.4.6 и ниже и уязвимости неправильной проверки сертификатов [CWE-297] в FortiClientWindows, FortiClientLinux и FortiClientMac 7.0.1 и ниже, 6.4.6 и ниже может позволить не прошедшему проверку подлинности и сетевому злоумышленнику выполнить атаку man-in-the-middle между EMS и FCT через протокол телеметрии.
CVE-2024-21753Неправильное ограничение имени пути к каталогу с ограниченным доступом («обход пути») в Fortinet FortiClientEMS версий с 7.2.0 по 7.2.4, с 7.0.0 по 7.0.13, с 6.4.0 по 6.4.9, с 6.2.0 по 6.2.9, с 6.0.0 по 6.0.8, с 1.2.1 по 1.2.5 позволяет злоумышленнику выполнить отказ в обслуживании, прочитать или записать ограниченное количество файлов с помощью специально созданных HTTP-запросов
CVE-2020-15941Уязвимость обхода пути [CWE-22] в FortiClientEMS версий 6.4.1 и ниже; 6.2.8 и ниже может позволить аутентифицированному злоумышленнику внедрять последовательности символов обхода каталогов для добавления/удаления файлов сервера через параметр имени пакетов развертывания.
CVE-2021-44172Раскрытие конфиденциальной информации неавторизованному участнику [CWE-200] в FortiClientEMS версии 7.0.0 до 7.0.4, 7.0.6 до 7.0.7, во всех версиях 6.4 и 6.2 интерфейса управления может позволить неаутентифицированному злоумышленнику получить информацию о переменных среды, таких как путь установки EMS.