Se han descubierto vulnerabilidades de severidad alta en productos Fortinet. Un actor malicioso podría permitir la ejecución de código arbitrario y tomar control de dispositivos afectados, comprometiendo la integridad, confidencialidad y disponibilidad de las plataformas FortiWeb.
Productos afectados
- FortiWeb 8.0: versiones anteriores a 8.0.1
- FortiWeb 7.6: versiones anteriores a 7.6.5
- FortiWeb 7.4: versiones anteriores a 7.4.10
- FortiWeb 7.2: versiones anteriores a 7.2.11
- FortiWeb 7.0: versiones anteriores a 7.0.11
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-58692: con una puntuación de 7.7 en CVSS v3.1. Existe una vulnerabilidad de neutralización incorrecta de elementos especiales utilizada en comandos del sistema operativo en FortiVoice. Un actor malicioso podría permitir la ejecución remota de código en dispositivos afectados mediante solicitudes HTML especialmente diseñadas, una vez autenticado en el sistema.
CVE-2025-47761: con una puntuación de 7.1 en CVSS v3.1. Existe una vulnerabilidad de control insuficiente de acceso en el controlador fortips de Fortinet. Un actor malicioso con acceso local autenticado podría permitir la elevación de privilegios o comprometer la integridad del sistema operando en ambientes Windows.
CVE-2025-46373: con una puntuación de 7.1 en CVSS v3.1. Existe una vulnerabilidad de desbordamiento de búfer en el Heap en FortiClient Windows. Un actor malicioso podría ejecutar código o comandos arbitrarios a través del controlador «fortips_74.sys».
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://www.cve.org/CVERecord?id=CVE-2025-58692
- https://www.cve.org/CVERecord?id=CVE-2025-47761
- https://www.cve.org/CVERecord?id=CVE-2025-46373
- https://www.fortiguard.com/psirt/FG-IR-25-112
- https://fortiguard.fortinet.com/psirt/FG-IR-25-125
- https://fortiguard.fortinet.com/psirt/FG-IR-25-666