CVE-2022-23439

A externally controlled reference to a resource in another sphere in Fortinet FortiManager before version 7.4.3, FortiMail before version 7.0.3, FortiAnalyzer before version 7.4.3, FortiVoice version 7.0.0, 7.0.1 and before 6.4.8, FortiProxy before version 7.0.4, FortiRecorder version 6.4.0 through 6.4.2 and before 6.0.10, FortiAuthenticator version 6.4.0 through 6.4.1 and before 6.3.3, FortiNDR version 7.2.0 before 7.1.0, FortiWLC before version 8.6.4, FortiPortal before version 6.0.9, FortiOS version 7.2.0 and before 7.0.5, FortiADC version 7.0.0 through 7.0.1 and before 6.2.3 , FortiDDoS before version 5.5.1, FortiDDoS-F before version 6.3.3, FortiTester before version 7.2.1, FortiSOAR before version 7.2.2 and FortiSwitch before version 6.3.3 allows attacker to poison web caches via crafted HTTP requests, where the `Host` header points to an arbitrary webserver

CVSS v3 4.7 MEDIUM

4.7^/10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 1.6 / Impact : 2.7

Attack Vector NETWORK

Attack Complexity HIGH

Privileges Required NONE

User Interaction REQUIRED

Confidentiality Impact LOW

Integrity Impact LOW

Availability Impact NONE

Scope CHANGED

References

Link	Resource
https://fortiguard.com/psirt/FG-IR-21-254	Broken Link

Configurations

Configuration 1 (hide)

OR	cpe:2.3:a:fortinet:fortiadc::::::::
	cpe:2.3:a:fortinet:fortiauthenticator::::::::
	cpe:2.3:a:fortinet:fortiauthenticator::::::::
	cpe:2.3:a:fortinet:fortiddos::::::::
	cpe:2.3:a:fortinet:fortiddos-f::::::::
	cpe:2.3:a:fortinet:fortimail::::::::
	cpe:2.3:a:fortinet:fortindr::::::::
	cpe:2.3:a:fortinet:fortindr:7.2.0:::::::*
	cpe:2.3:a:fortinet:fortiproxy::::::::
	cpe:2.3:a:fortinet:fortiproxy::::::::
	cpe:2.3:a:fortinet:fortirecorder::::::::
	cpe:2.3:a:fortinet:fortirecorder::::::::
	cpe:2.3:a:fortinet:fortisoar::::::::
	cpe:2.3:a:fortinet:fortitester::::::::
	cpe:2.3:a:fortinet:fortivoice::::::::
	cpe:2.3:a:fortinet:fortiwlc::::::::
	cpe:2.3:o:fortinet:fortios::::::::
	cpe:2.3:o:fortinet:fortios::::::::
	cpe:2.3:o:fortinet:fortiswitch::::::::

History

12 Feb 2025, 13:39

Type	Values Removed	Values Added
First Time		Fortinet fortiswitch Fortinet fortiddos Fortinet fortiadc Fortinet fortisoar Fortinet fortiwlc Fortinet fortiauthenticator Fortinet fortindr Fortinet fortiproxy Fortinet fortitester Fortinet Fortinet fortirecorder Fortinet fortimail Fortinet fortiddos-f Fortinet fortivoice Fortinet fortios
CPE		cpe:2.3:a:fortinet:fortirecorder:::::::: cpe:2.3:a:fortinet:fortiauthenticator:::::::: cpe:2.3:o:fortinet:fortios:::::::: cpe:2.3:a:fortinet:fortisoar:::::::: cpe:2.3:a:fortinet:fortitester:::::::: cpe:2.3:a:fortinet:fortindr:7.2.0:::::::* cpe:2.3:a:fortinet:fortivoice:::::::: cpe:2.3:a:fortinet:fortiwlc:::::::: cpe:2.3:a:fortinet:fortindr:::::::: cpe:2.3:a:fortinet:fortiddos:::::::: cpe:2.3:a:fortinet:fortimail:::::::: cpe:2.3:a:fortinet:fortiadc:::::::: cpe:2.3:a:fortinet:fortiproxy:::::::: cpe:2.3:a:fortinet:fortiddos-f:::::::: cpe:2.3:o:fortinet:fortiswitch::::::::
Summary		(es) Una referencia controlada externamente a un recurso en otra esfera en Fortinet FortiManager anterior a la versión 7.4.3, FortiMail anterior a la versión 7.0.3, FortiAnalyzer anterior a la versión 7.4.3, FortiVoice versión 7.0.0, 7.0.1 y anterior a 6.4.8, FortiProxy anterior a la versión 7.0.4, FortiRecorder versión 6.4.0 a 6.4.2 y anterior a 6.0.10, FortiAuthenticator versión 6.4.0 a 6.4.1 y anterior a 6.3.3, FortiNDR versión 7.2.0 anterior a 7.1.0, FortiWLC anterior a la versión 8.6.4, FortiPortal anterior a la versión 6.0.9, FortiOS versión 7.2.0 y anterior a 7.0.5, FortiADC versión 7.0.0 a 7.0.1 y anterior 6.2.3, FortiDDoS anterior a la versión 5.5.1, FortiDDoS-F anterior a la versión 6.3.3, FortiTester anterior a la versión 7.2.1, FortiSOAR anterior a la versión 7.2.2 y FortiSwitch anterior a la versión 6.3.3 permiten a los atacantes envenenar cachés web a través de solicitudes HTTP manipulado, donde el encabezado `Host` apunta a un servidor web arbitrario.
References	~~() https://fortiguard.com/psirt/FG-IR-21-254 -~~	() https://fortiguard.com/psirt/FG-IR-21-254 - Broken Link

22 Jan 2025, 10:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2025-01-22 10:15

Updated : 2025-02-12 13:39

NVD link : CVE-2022-23439

Mitre link : CVE-2022-23439

CVE.ORG link : CVE-2022-23439

JSON object : View

Products Affected

fortinet

fortitester
fortiswitch
fortisoar
fortiauthenticator
fortiddos
fortivoice
fortiwlc
fortirecorder
fortimail
fortindr
fortiddos-f
fortios
fortiadc
fortiproxy

CWE

CWE-610

Externally Controlled Reference to a Resource in Another Sphere

4.7 /10