Actualizaciones de seguridad de Fortinet

18/06/2025 Noticias 0

Fortinet ha lanzado actualizaciones de seguridad que abordan múltiples vulnerabilidades en su cartera de productos. Estas podrían permitir, desde la escalada de privilegios hasta vulnerabilidades de inyección de comandos que podrían comprometer potencialmente la seguridad de la red empresarial.

Productos afectados

  • FortiAnalyzer 7.4.0
  • FortiAnalyzer 7.2.0 al 7.2.3
  • FortiAnalyzer 7.0.0 al 7.0.8
  • FortiAnalyzer 6.4.0 al 6.4.12
  • FortiAnalyzer 6.2.0 al 6.2.11
  • FortiAnalyzer-BigData 7.2.0 al 7.2.5
  • FortiAnalyzer-BigData 7.0 todas las versiones
  • FortiAnalyzer-BigData 6.4 todas las versiones
  • FortiAnalyzer-BigData 6.2 todas las versiones
  • FortiManager 7.4.0
  • FortiManager 7.2.0 al 7.2.3
  • FortiManager 7.0.0 al 7.0.8
  • FortiManager 6.4.0 al 6.4.12
  • FortiManager 6.2.0 al 6.2.11
  • FortiManager Cloud 7.2.1 al 7.2.3
  • FortiManager Cloud 7.0.1 al 7.0.8
  • FortiManager Cloud 6.4 todas las versiones

Impacto

Las vulnerabilidades de mayor severidad se han identificado como:

CVE-2023-42788: con una puntuación de 7.6 en CVSS v3.1. Existe una vulnerabilidad en la neutralización incorrecta de elementos especiales utilizados en un comando del sistema operativo. Esta podría permitir que un actor malicioso local con privilegios bajos ejecute código no autorizado a través de argumentos específicamente diseñados para un comando CLI.

CVE-2025-22254: con una puntuación de 6.6 en CVSS v3.1. Existe una vulnerabilidad de administración inadecuada de privilegios, lo que podría permitir que un actor malicioso autenticado con al menos permisos de administrador de solo lectura obtenga privilegios de superadministrador a través de solicitudes diseñadas al módulo websocket Node.js.

CVE-2025-22862: con una puntuación de 6.3 en CVSS v3.1. Existe una vulnerabilidad de omisión de autenticación mediante una ruta o canal alternativo, que podría permitir que un actor malicioso autenticado eleve sus privilegios mediante la activación de una acción de Webhook maliciosa en el componente Automation Stitch.

Recomendación

Actualizar a la última versión disponible a través del sitio web oficial del fabricante.

Referencias

  • https://www.cve.org/CVERecord?id=CVE-2023-42788
  • https://www.fortiguard.com/psirt/FG-IR-23-167
  • https://nvd.nist.gov/vuln/detail/CVE-2025-22254
  • https://www.fortiguard.com/psirt/FG-IR-24-385
Compartir: