Se identificaron vulnerabilidades en los productos Fortinet. Un actor malicioso remoto podría explotar algunas de estas vulnerabilidades para provocar la ejecución remota de código y eludir las restricciones de seguridad en el sistema objetivo.
Productos afectados
- FortiWeb
- 7.6.x, versiones anteriores a 7.6.4
- 7.4.x, versiones anteriores a 7.4.8
- 7.2.x, versiones anteriores a 7.2.11
- 7.0.x, versiones anteriores a 7.0.11
- FortiVoice
- 7.2.x, versiones anteriores a 7.2.1
- 7.0.x, versiones anteriores a 7.0.7
- 6.4.x, versiones anteriores a 6.4.11
Impacto
Las vulnerabilidades se han identificado como:
CVE-2025-25257: con una puntuación de 9.6 en CVSS v3.1. Existe una vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando SQL en FortiWeb, que podría permitir que un actor malicioso no autenticado ejecute código o comandos SQL no autorizados a través de solicitudes HTTP o HTTPS diseñadas.
CVE-2025-47856: con una puntuación de 7.2 en CVSS v3.1. Existe una vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando del SO en FortiVoice, que podría permitir que un actor malicioso privilegiado ejecute código o comandos arbitrarios a través de solicitudes HTTP/HTTPS o CLI diseñadas.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://fortiguard.fortinet.com/psirt/FG-IR-25-250
- https://fortiguard.fortinet.com/psirt/FG-IR-25-151