CVE-2022-23439

A externally controlled reference to a resource in another sphere in Fortinet FortiManager before version 7.4.3, FortiMail before version 7.0.3, FortiAnalyzer before version 7.4.3, FortiVoice version 7.0.0, 7.0.1 and before 6.4.8, FortiProxy before version 7.0.4, FortiRecorder version 6.4.0 through 6.4.2 and before 6.0.10, FortiAuthenticator version 6.4.0 through 6.4.1 and before 6.3.3, FortiNDR version 7.2.0 before 7.1.0, FortiWLC before version 8.6.4, FortiPortal before version 6.0.9, FortiOS version 7.2.0 and before 7.0.5, FortiADC version 7.0.0 through 7.0.1 and before 6.2.3 , FortiDDoS before version 5.5.1, FortiDDoS-F before version 6.3.3, FortiTester before version 7.2.1, FortiSOAR before version 7.2.2 and FortiSwitch before version 6.3.3 allows attacker to poison web caches via crafted HTTP requests, where the `Host` header points to an arbitrary webserver

CVSS v3 4.7 MEDIUM

4.7^/10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 1.6 / Impact : 2.7

Attack Vector NETWORK

Attack Complexity HIGH

Privileges Required NONE

User Interaction REQUIRED

Confidentiality Impact LOW

Integrity Impact LOW

Availability Impact NONE

Scope CHANGED

References

Link	Resource
https://fortiguard.com/psirt/FG-IR-21-254	Broken Link

Configurations

Configuration 1 (hide)

OR	cpe:2.3:a:fortinet:fortiadc::::::::
	cpe:2.3:a:fortinet:fortiauthenticator::::::::
	cpe:2.3:a:fortinet:fortiauthenticator::::::::
	cpe:2.3:a:fortinet:fortiddos::::::::
	cpe:2.3:a:fortinet:fortiddos-f::::::::
	cpe:2.3:a:fortinet:fortimail::::::::
	cpe:2.3:a:fortinet:fortindr::::::::
	cpe:2.3:a:fortinet:fortindr:7.2.0:::::::*
	cpe:2.3:a:fortinet:fortiproxy::::::::
	cpe:2.3:a:fortinet:fortiproxy::::::::
	cpe:2.3:a:fortinet:fortirecorder::::::::
	cpe:2.3:a:fortinet:fortirecorder::::::::
	cpe:2.3:a:fortinet:fortisoar::::::::
	cpe:2.3:a:fortinet:fortitester::::::::
	cpe:2.3:a:fortinet:fortivoice::::::::
	cpe:2.3:a:fortinet:fortiwlc::::::::
	cpe:2.3:o:fortinet:fortios::::::::
	cpe:2.3:o:fortinet:fortios::::::::
	cpe:2.3:o:fortinet:fortiswitch::::::::

History

12 Feb 2025, 13:39

Type	Values Removed	Values Added
CPE		cpe:2.3:o:fortinet:fortios:::::::: cpe:2.3:a:fortinet:fortiproxy:::::::: cpe:2.3:a:fortinet:fortiadc:::::::: cpe:2.3:a:fortinet:fortiauthenticator:::::::: cpe:2.3:a:fortinet:fortivoice:::::::: cpe:2.3:a:fortinet:fortirecorder:::::::: cpe:2.3:a:fortinet:fortimail:::::::: cpe:2.3:a:fortinet:fortiddos-f:::::::: cpe:2.3:a:fortinet:fortisoar:::::::: cpe:2.3:a:fortinet:fortitester:::::::: cpe:2.3:o:fortinet:fortiswitch:::::::: cpe:2.3:a:fortinet:fortiwlc:::::::: cpe:2.3:a:fortinet:fortindr:7.2.0:::::::* cpe:2.3:a:fortinet:fortindr:::::::: cpe:2.3:a:fortinet:fortiddos::::::::
References	~~() https://fortiguard.com/psirt/FG-IR-21-254 -~~	() https://fortiguard.com/psirt/FG-IR-21-254 - Broken Link
First Time		Fortinet fortitester Fortinet fortiwlc Fortinet fortios Fortinet fortivoice Fortinet fortiadc Fortinet fortiswitch Fortinet fortiddos Fortinet Fortinet fortiproxy Fortinet fortindr Fortinet fortimail Fortinet fortisoar Fortinet fortirecorder Fortinet fortiauthenticator Fortinet fortiddos-f
Summary		(es) Una referencia controlada externamente a un recurso en otra esfera en Fortinet FortiManager anterior a la versión 7.4.3, FortiMail anterior a la versión 7.0.3, FortiAnalyzer anterior a la versión 7.4.3, FortiVoice versión 7.0.0, 7.0.1 y anterior a 6.4.8, FortiProxy anterior a la versión 7.0.4, FortiRecorder versión 6.4.0 a 6.4.2 y anterior a 6.0.10, FortiAuthenticator versión 6.4.0 a 6.4.1 y anterior a 6.3.3, FortiNDR versión 7.2.0 anterior a 7.1.0, FortiWLC anterior a la versión 8.6.4, FortiPortal anterior a la versión 6.0.9, FortiOS versión 7.2.0 y anterior a 7.0.5, FortiADC versión 7.0.0 a 7.0.1 y anterior 6.2.3, FortiDDoS anterior a la versión 5.5.1, FortiDDoS-F anterior a la versión 6.3.3, FortiTester anterior a la versión 7.2.1, FortiSOAR anterior a la versión 7.2.2 y FortiSwitch anterior a la versión 6.3.3 permiten a los atacantes envenenar cachés web a través de solicitudes HTTP manipulado, donde el encabezado `Host` apunta a un servidor web arbitrario.

22 Jan 2025, 10:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2025-01-22 10:15

Updated : 2025-02-12 13:39

NVD link : CVE-2022-23439

Mitre link : CVE-2022-23439

CVE.ORG link : CVE-2022-23439

JSON object : View

Products Affected

fortinet

fortiddos-f
fortiauthenticator
fortitester
fortivoice
fortiswitch
fortiddos
fortiadc
fortindr
fortiwlc
fortirecorder
fortimail
fortiproxy
fortisoar
fortios

CWE

CWE-610

Externally Controlled Reference to a Resource in Another Sphere

4.7 /10