Se han descubierto vulnerabilidades de severidad alta en productos Fortinet. Un actor malicioso podría ejecutar código arbitrario o eludir mecanismos de autenticación en los sistemas afectados.
Productos afectados
- FortiOS versiones 7.6.0 a 7.6.4.
- FortiSandbox versiones 5.0.0 a 5.0.1.
- FortiSandbox versiones 4.4.0 a 4.4.7.
- FortiSandbox versiones 4.2 (todas las versiones).
- FortiSandbox versiones 4.0 (todas las versiones).
Impacto
Las vulnerabilidades se han identificado como:
CVE-2025-52436: con una puntuación de 7.9 en CVSS v3.1. Existe una vulnerabilidad de neutralización inadecuada de la entrada durante la generación de páginas web. Un actor malicioso remoto no autenticado podría ejecutar comandos mediante el envío de solicitudes especialmente diseñadas.
CVE-2026-22153: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de control de acceso inadecuado. Un actor malicioso remoto no autenticado podría eludir la autenticación LDAP en políticas de VPN sin agente o FSSO cuando el servidor LDAP remoto se encuentra configurado de una manera específica.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante. Migración inmediata a una rama de software con soporte activo para las versiones sin soporte.
Referencias