CVE-2022-23439

A externally controlled reference to a resource in another sphere in Fortinet FortiManager before version 7.4.3, FortiMail before version 7.0.3, FortiAnalyzer before version 7.4.3, FortiVoice version 7.0.0, 7.0.1 and before 6.4.8, FortiProxy before version 7.0.4, FortiRecorder version 6.4.0 through 6.4.2 and before 6.0.10, FortiAuthenticator version 6.4.0 through 6.4.1 and before 6.3.3, FortiNDR version 7.2.0 before 7.1.0, FortiWLC before version 8.6.4, FortiPortal before version 6.0.9, FortiOS version 7.2.0 and before 7.0.5, FortiADC version 7.0.0 through 7.0.1 and before 6.2.3 , FortiDDoS before version 5.5.1, FortiDDoS-F before version 6.3.3, FortiTester before version 7.2.1, FortiSOAR before version 7.2.2 and FortiSwitch before version 6.3.3 allows attacker to poison web caches via crafted HTTP requests, where the `Host` header points to an arbitrary webserver

CVSS v3 4.7 MEDIUM

4.7^/10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 1.6 / Impact : 2.7

Attack Vector NETWORK

Attack Complexity HIGH

Privileges Required NONE

User Interaction REQUIRED

Confidentiality Impact LOW

Integrity Impact LOW

Availability Impact NONE

Scope CHANGED

References

Link	Resource
https://fortiguard.com/psirt/FG-IR-21-254	Broken Link

Configurations

Configuration 1 (hide)

OR	cpe:2.3:a:fortinet:fortiadc::::::::
	cpe:2.3:a:fortinet:fortiauthenticator::::::::
	cpe:2.3:a:fortinet:fortiauthenticator::::::::
	cpe:2.3:a:fortinet:fortiddos::::::::
	cpe:2.3:a:fortinet:fortiddos-f::::::::
	cpe:2.3:a:fortinet:fortimail::::::::
	cpe:2.3:a:fortinet:fortindr::::::::
	cpe:2.3:a:fortinet:fortindr:7.2.0:::::::*
	cpe:2.3:a:fortinet:fortiproxy::::::::
	cpe:2.3:a:fortinet:fortiproxy::::::::
	cpe:2.3:a:fortinet:fortirecorder::::::::
	cpe:2.3:a:fortinet:fortirecorder::::::::
	cpe:2.3:a:fortinet:fortisoar::::::::
	cpe:2.3:a:fortinet:fortitester::::::::
	cpe:2.3:a:fortinet:fortivoice::::::::
	cpe:2.3:a:fortinet:fortiwlc::::::::
	cpe:2.3:o:fortinet:fortios::::::::
	cpe:2.3:o:fortinet:fortios::::::::
	cpe:2.3:o:fortinet:fortiswitch::::::::

History

12 Feb 2025, 13:39

Type	Values Removed	Values Added
References	~~() https://fortiguard.com/psirt/FG-IR-21-254 -~~	() https://fortiguard.com/psirt/FG-IR-21-254 - Broken Link
First Time		Fortinet fortiswitch Fortinet Fortinet fortisoar Fortinet fortiddos Fortinet fortiddos-f Fortinet fortiwlc Fortinet fortirecorder Fortinet fortios Fortinet fortivoice Fortinet fortindr Fortinet fortitester Fortinet fortimail Fortinet fortiadc Fortinet fortiauthenticator Fortinet fortiproxy
CPE		cpe:2.3:a:fortinet:fortiwlc:::::::: cpe:2.3:a:fortinet:fortisoar:::::::: cpe:2.3:a:fortinet:fortiddos:::::::: cpe:2.3:a:fortinet:fortiadc:::::::: cpe:2.3:a:fortinet:fortindr:7.2.0:::::::* cpe:2.3:a:fortinet:fortirecorder:::::::: cpe:2.3:a:fortinet:fortivoice:::::::: cpe:2.3:o:fortinet:fortios:::::::: cpe:2.3:a:fortinet:fortiddos-f:::::::: cpe:2.3:a:fortinet:fortindr:::::::: cpe:2.3:a:fortinet:fortitester:::::::: cpe:2.3:o:fortinet:fortiswitch:::::::: cpe:2.3:a:fortinet:fortiproxy:::::::: cpe:2.3:a:fortinet:fortimail:::::::: cpe:2.3:a:fortinet:fortiauthenticator::::::::
Summary		(es) Una referencia controlada externamente a un recurso en otra esfera en Fortinet FortiManager anterior a la versión 7.4.3, FortiMail anterior a la versión 7.0.3, FortiAnalyzer anterior a la versión 7.4.3, FortiVoice versión 7.0.0, 7.0.1 y anterior a 6.4.8, FortiProxy anterior a la versión 7.0.4, FortiRecorder versión 6.4.0 a 6.4.2 y anterior a 6.0.10, FortiAuthenticator versión 6.4.0 a 6.4.1 y anterior a 6.3.3, FortiNDR versión 7.2.0 anterior a 7.1.0, FortiWLC anterior a la versión 8.6.4, FortiPortal anterior a la versión 6.0.9, FortiOS versión 7.2.0 y anterior a 7.0.5, FortiADC versión 7.0.0 a 7.0.1 y anterior 6.2.3, FortiDDoS anterior a la versión 5.5.1, FortiDDoS-F anterior a la versión 6.3.3, FortiTester anterior a la versión 7.2.1, FortiSOAR anterior a la versión 7.2.2 y FortiSwitch anterior a la versión 6.3.3 permiten a los atacantes envenenar cachés web a través de solicitudes HTTP manipulado, donde el encabezado `Host` apunta a un servidor web arbitrario.

22 Jan 2025, 10:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2025-01-22 10:15

Updated : 2025-02-12 13:39

NVD link : CVE-2022-23439

Mitre link : CVE-2022-23439

CVE.ORG link : CVE-2022-23439

JSON object : View

Products Affected

fortinet

fortiadc
fortios
fortimail
fortindr
fortitester
fortiddos
fortivoice
fortiwlc
fortisoar
fortirecorder
fortiswitch
fortiddos-f
fortiauthenticator
fortiproxy

CWE

CWE-610

Externally Controlled Reference to a Resource in Another Sphere

4.7 /10