Síntesis
Se descubrieron nuevas vulnerabilidades en varios productos, incluidas cuatro de gravedad “alta”. Estas vulnerabilidades podrían permitir el acceso a información confidencial, la ejecución de comandos arbitrarios o la elevación de privilegios de usuario en los sistemas afectados.
Nota: El proveedor afirma que la vulnerabilidad CVE-2025-24472 se está explotando activamente en línea.
Riesgo
Impacto estimado de la vulnerabilidad en la comunidad objetivo: Crítico (77,05)
Tipología
- Arbitrary Code Execution
- Information Disclosure
- Privilege Escalation
Productos y versiones afectados
- FortiPortal 7.0.x, de la versión 7.0.0 a la 7.0.11
- FortiPortal 7.2.x, de la versión 7.2.0 a la 7.2.6
- FortiPortal 7.4.x, de la versión 7.4.0 a la 7.4.2
- FortiOS 6.4.x
- FortiOS 7.0.x, desde la versión 7.0.0 hasta la 7.0.16
- FortiOS 7.2.x, desde la versión 7.2.0 hasta la 7.2.9
- FortiOS 7.4.x, desde la versión 7.4.0 hasta la 7.4.4
- FortiOS 7.6.x
- FortiProxy 7.0.x, desde la versión 7.0.0 hasta la 7.0.19
- FortiProxy 7.2.x, de la versión 7.2.0 a la 7.2.12
Acciones de mitigación
De acuerdo con las declaraciones de los proveedores, se recomienda aplicar mitigaciones siguiendo las pautas de los boletines de seguridad disponibles en la sección Referencias.
Finalmente, se recomienda evaluar la implementación de los Indicadores de Compromiso (IoC)[1] reportados en los boletines de seguridad.
Los siguientes son solo los CVE para vulnerabilidades con una gravedad “alta”:
[1] Por definición, no todos los indicadores de compromiso son maliciosos. Este CSIRT no tiene responsabilidad de implementar ninguna acción proactiva (por ejemplo, incluir en la lista negra los IoC) relacionada con los indicadores proporcionados. La información contenida en este documento representa la mejor comprensión de la amenaza en el momento de su publicación.
Referencias
https://fortiguard.fortinet.com/psirt/FG-IR-24-302
https://fortiguard.fortinet.com/psirt/FG-IR-24-160
https://fortiguard.fortinet.com/psirt/FG-IR-24-535
https://fortiguard.fortinet.com/psirt/FG-IR-25-015
1Esta estimación se realiza teniendo en cuenta varios parámetros, entre ellos: CVSS, disponibilidad de patch/workaround y PoC, difusión del software/dispositivos afectados en la comunidad de referencia.
