2. Vulnerabilidad crítica en Fortinet FortiWeb (CVE-2025-64446)

Vulnerabilidad crítica en Fortinet FortiWeb (CVE-2025-64446)

Fecha de publicación: Vie, 21/11/2025 - 10:26

Alerta de seguridad

Nivel de peligrosidad: Crítico

Descripción

CVE-2025-64446 es una vulnerabilidad de recorrido de rutas relativo (Relative Path Traversal, CWE-23) combinada con una falla en los controles de autenticación de FortiWeb.
Un atacante remoto, sin necesidad de credenciales, puede manipular solicitudes HTTP/HTTPS especialmente diseñadas para acceder a archivos internos del sistema y ejecutar funciones administrativas.

Esto permite:

  • Acceso no autorizado a la interfaz de administración.
  • Creación de cuentas administrativas.
  • Potencial ejecución de acciones críticas con privilegios elevados.

La vulnerabilidad ha sido incluida en la lista de vulnerabilidades explotadas activamente en entornos reales.

Recursos afectados

Versiones vulnerables de Fortinet FortiWeb:

  • 7.0.0 – 7.0.11
  • 7.2.0 – 7.2.11
  • 7.4.0 – 7.4.9
  • 7.6.0 – 7.6.4
  • 8.0.0 – 8.0.1

Versiones corregidas disponibles en ramas posteriores (incluye 8.0.2 y equivalentes en cada rama).

Solución/Mitigación

Actualizar FortiWeb inmediatamente a una versión parchada recomendada por Fortinet (por ejemplo, 8.0.2 para la rama 8.x).

Mitigación temporal (si el parche no es posible de inmediato):

  • Deshabilitar el acceso HTTP/HTTPS a la interfaz de gestión desde redes públicas.
  • Restringir el acceso de administración a una red interna segura o mediante VPN.
  • Implementar reglas WAF/IPS para bloquear solicitudes sospechosas relacionadas con path traversal.
  • Revisar y asegurar configuraciones de control de acceso.

Indicadores de compromiso

Posibles señales de explotación:

  • Creación de cuentas administrativas nuevas o desconocidas.
  • Accesos a la interfaz de administración desde IPs externas o no habituales.
  • Entradas de log mostrando patrones de path traversal (../).
  • Actividad anómala en funciones administrativas sin registro de autenticación.
  • Solicitudes HTTP/HTTPS hacia rutas internas inusuales.

Revisión recomendada:

  • Event logs
  • System logs
  • Western admin logs
  • Revisar integridad de archivos del sistema.

Recomendaciones

  • Aplicar el parche oficial de manera prioritaria.
  • Aislar temporalmente el dispositivo si se sospecha compromiso.
  • Revisar todas las cuentas administrativas y eliminar cualquier acceso no autorizado.
  • Activar monitoreo de logs con alertas específicas para path traversal y accesos administrativos.
  • Incluir esta vulnerabilidad en el plan de gestión de riesgos y en el monitoreo continuo de infraestructuras críticas.
  • Realizar un análisis post-patch para confirmar que no existan puertas traseras o accesos persistentes.

Referencias

FORTINET

NVD

CISA