CVE-2022-23439

A externally controlled reference to a resource in another sphere in Fortinet FortiManager before version 7.4.3, FortiMail before version 7.0.3, FortiAnalyzer before version 7.4.3, FortiVoice version 7.0.0, 7.0.1 and before 6.4.8, FortiProxy before version 7.0.4, FortiRecorder version 6.4.0 through 6.4.2 and before 6.0.10, FortiAuthenticator version 6.4.0 through 6.4.1 and before 6.3.3, FortiNDR version 7.2.0 before 7.1.0, FortiWLC before version 8.6.4, FortiPortal before version 6.0.9, FortiOS version 7.2.0 and before 7.0.5, FortiADC version 7.0.0 through 7.0.1 and before 6.2.3 , FortiDDoS before version 5.5.1, FortiDDoS-F before version 6.3.3, FortiTester before version 7.2.1, FortiSOAR before version 7.2.2 and FortiSwitch before version 6.3.3 allows attacker to poison web caches via crafted HTTP requests, where the `Host` header points to an arbitrary webserver

CVSS v3 4.7 MEDIUM

4.7^/10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 1.6 / Impact : 2.7

Attack Vector NETWORK

Attack Complexity HIGH

Privileges Required NONE

User Interaction REQUIRED

Confidentiality Impact LOW

Integrity Impact LOW

Availability Impact NONE

Scope CHANGED

References

Link	Resource
https://fortiguard.com/psirt/FG-IR-21-254	Broken Link

Configurations

Configuration 1 (hide)

OR	cpe:2.3:a:fortinet:fortiadc::::::::
	cpe:2.3:a:fortinet:fortiauthenticator::::::::
	cpe:2.3:a:fortinet:fortiauthenticator::::::::
	cpe:2.3:a:fortinet:fortiddos::::::::
	cpe:2.3:a:fortinet:fortiddos-f::::::::
	cpe:2.3:a:fortinet:fortimail::::::::
	cpe:2.3:a:fortinet:fortindr::::::::
	cpe:2.3:a:fortinet:fortindr:7.2.0:::::::*
	cpe:2.3:a:fortinet:fortiproxy::::::::
	cpe:2.3:a:fortinet:fortiproxy::::::::
	cpe:2.3:a:fortinet:fortirecorder::::::::
	cpe:2.3:a:fortinet:fortirecorder::::::::
	cpe:2.3:a:fortinet:fortisoar::::::::
	cpe:2.3:a:fortinet:fortitester::::::::
	cpe:2.3:a:fortinet:fortivoice::::::::
	cpe:2.3:a:fortinet:fortiwlc::::::::
	cpe:2.3:o:fortinet:fortios::::::::
	cpe:2.3:o:fortinet:fortios::::::::
	cpe:2.3:o:fortinet:fortiswitch::::::::

History

12 Feb 2025, 13:39

Type	Values Removed	Values Added
References	~~() https://fortiguard.com/psirt/FG-IR-21-254 -~~	() https://fortiguard.com/psirt/FG-IR-21-254 - Broken Link
CPE		cpe:2.3:a:fortinet:fortirecorder:::::::: cpe:2.3:a:fortinet:fortitester:::::::: cpe:2.3:a:fortinet:fortiwlc:::::::: cpe:2.3:a:fortinet:fortindr:::::::: cpe:2.3:a:fortinet:fortiddos:::::::: cpe:2.3:a:fortinet:fortiadc:::::::: cpe:2.3:a:fortinet:fortiauthenticator:::::::: cpe:2.3:a:fortinet:fortimail:::::::: cpe:2.3:o:fortinet:fortiswitch:::::::: cpe:2.3:o:fortinet:fortios:::::::: cpe:2.3:a:fortinet:fortiproxy:::::::: cpe:2.3:a:fortinet:fortiddos-f:::::::: cpe:2.3:a:fortinet:fortivoice:::::::: cpe:2.3:a:fortinet:fortisoar:::::::: cpe:2.3:a:fortinet:fortindr:7.2.0:::::::*
First Time		Fortinet fortiswitch Fortinet fortimail Fortinet fortiauthenticator Fortinet fortisoar Fortinet fortiddos Fortinet fortirecorder Fortinet fortiproxy Fortinet fortivoice Fortinet fortiddos-f Fortinet fortios Fortinet fortindr Fortinet Fortinet fortiwlc Fortinet fortitester Fortinet fortiadc
Summary		(es) Una referencia controlada externamente a un recurso en otra esfera en Fortinet FortiManager anterior a la versión 7.4.3, FortiMail anterior a la versión 7.0.3, FortiAnalyzer anterior a la versión 7.4.3, FortiVoice versión 7.0.0, 7.0.1 y anterior a 6.4.8, FortiProxy anterior a la versión 7.0.4, FortiRecorder versión 6.4.0 a 6.4.2 y anterior a 6.0.10, FortiAuthenticator versión 6.4.0 a 6.4.1 y anterior a 6.3.3, FortiNDR versión 7.2.0 anterior a 7.1.0, FortiWLC anterior a la versión 8.6.4, FortiPortal anterior a la versión 6.0.9, FortiOS versión 7.2.0 y anterior a 7.0.5, FortiADC versión 7.0.0 a 7.0.1 y anterior 6.2.3, FortiDDoS anterior a la versión 5.5.1, FortiDDoS-F anterior a la versión 6.3.3, FortiTester anterior a la versión 7.2.1, FortiSOAR anterior a la versión 7.2.2 y FortiSwitch anterior a la versión 6.3.3 permiten a los atacantes envenenar cachés web a través de solicitudes HTTP manipulado, donde el encabezado `Host` apunta a un servidor web arbitrario.

22 Jan 2025, 10:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2025-01-22 10:15

Updated : 2025-02-12 13:39

NVD link : CVE-2022-23439

Mitre link : CVE-2022-23439

CVE.ORG link : CVE-2022-23439

JSON object : View

Products Affected

fortinet

fortitester
fortiadc
fortirecorder
fortiproxy
fortindr
fortiauthenticator
fortiswitch
fortios
fortiwlc
fortimail
fortisoar
fortiddos-f
fortivoice
fortiddos

CWE

CWE-610

Externally Controlled Reference to a Resource in Another Sphere

4.7 /10