Vulnerabilidades en explotación de FortiWeb
Fortinet ha publicado en su sitio de avisos de seguridad nuevas vulnerabilidades identificadas como CVE-2025-64446 y CVE-2025-58034, las cuales afectan a algunas de las versiones de su producto FortiWeb. Estos CVE actualmente se ha confirmado que están siendo explotados en la naturaleza y están catalogados como vulnerabilidades Zero Day.
CVE-2025-64446
Este CVE al poco tiempo de ser publicado por Fortinet, se confirmó que está siendo explotada activamente en la naturaleza y la CISA la agrego a su catálogo el mismo día. Se origina por una falla de tipo relative path traversal o confusión de rutas, una técnica mediante la cual autores de amenazas pueden manipular la estructura de una URL utilizando secuencias como “../” para desplazarse entre directorios internos de un servidor web. Normalmente, los servidores verifican permisos, credenciales y el contexto del usuario antes de permitir el acceso a archivos sensibles; sin embargo, en este caso esas validaciones no se aplican de manera adecuada. Esta ausencia de controles abre la puerta para que actores maliciosos accedan desde la red a recursos y archivos internos que deberían estar restringidos únicamente a usuarios con privilegios elevados.
La vulnerabilidad ha sido calificada con una severidad de 9.1 en la escala CVSS debido a que permite que un atacante no autenticado obtenga control total del dispositivo. Esto ocurre porque el fallo combina dos problemas que, al interactuar, generan un escenario de riesgo extremo. El primero es el relative path traversal, que podría permitir que un usuario remoto invoque directamente un programa interno denominado fwbcgi, el cual forma parte del backend administrativo de FortiWeb, esto es algo que solo debería ejecutarse después de un proceso de autenticación, pero el fallo y la manipulación de rutas permite alcanzarlo sin necesidad de credenciales de autentificación.
El segundo componente del fallo está relacionado con cómo FortiWeb procesa un encabezado HTTP llamado CGIINFO, este se utiliza para identificar al usuario que realiza la petición y contiene un objeto JSON con datos como el nombre de usuario, el perfil de permisos y el dominio virtual asignado. En las versiones afectadas, el sistema acepta ese contenido sin comprobar si proviene de un proceso real de autenticación, lo que significa que confía ciegamente en cualquier información enviada dentro del encabezado.
Los atacantes pueden construir un encabezado CGIINFO que declare que el usuario es “admin” y debido a la falta de validaciones, la función encargada de manejar la autenticación, conocida como cgi_auth(), interpretará ese contenido como legítimo y le permitirá al atacante obtener privilegios de administrador y en consecuencia la creación de nuevos usuarios, modificación de configuraciones críticas y reglas de los firewalls afectados.
CVE-2025-58034
Esta vulnerabilidad tiene asignada una puntuación de CVSS de 6.7 lo que la clasifica como un CVE de criticidad media y al igual que la vulnerabilidad anterior también esta siendo explotada en la naturaleza, lo que significa que está siendo utilizada actualmente por autores maliciosos para atacar a sus víctimas. Esta falla se origina por neutralizaciones incorrectas de algunos elementos especiales en comandos del sistema operativo, básicamente es una falla ocasionada por la forma en la que FortiWeb procesa la entrada de solicitudes HTTP y comandos CLI especialmente diseñados.
FortiWeb al estar vulnerable procesara las solicitudes HTTPP de entrada y algunos comandos de CLI con validaciones insuficientes de seguridad, lo que en consecuencia podría permitir que autores maliciosos se aprovechen de la vulnerabilidad para lograr ejecutar e inyectar código arbitrario sin contar con los permisos de usuario necesarios.
El CVE ya cuenta con pruebas de concepto (POC) que validan que la vulnerabilidad puede ser explota, pero lo más crítico de estas pruebas es que los autores de amenazas pueden consultarlos para explotar con mayor facilidad la vulnerabilidad, por eso se recomienda actualizar a las versiones parcheadas para mitigar los riesgos y evitar que se envíen solicitudes HTTP o comandos CLI especialmente diseñados para que el sistema afectado no valide correctamente y los atacantes logren ejecutar código de forma remota solo con estar autentificados en el sistema y sin necesidad de contar con privilegios altos de usuario.
Versiones Afectadas
CVE-2025-64446
|
Producto |
Versión afectada |
versión parcheada |
|
FortiWeb 8.0 |
8.0.0 a 8.0.1 |
8.0.2 o superior |
|
FortiWeb 7.6 |
7.6.0 a 7.6.4 |
7.6.5 o superior |
|
FortiWeb 7.4 |
7.4.0 a 7.4.9 |
7.4.10 o superior |
|
FortiWeb 7.2 |
7.2.0 a 7.2.11 |
7.2.12 o superior |
|
FortiWeb 7.0 |
7.0.0 a 7.0.11 |
7.0.12 o superior |
CVE-2025-58034
|
Producto |
Versión afectada |
Versión parcheada |
|
FortiWeb 8.0 |
8.0.0 a 8.0.1 |
8.0.2 o superior |
|
FortiWeb 7.6 |
7.6.0 a 7.6.5 |
7.6.6 o superior |
|
FortiWeb 7.4 |
7.4.0 a 7.4.10 |
7.4.11 o superior |
|
FortiWeb 7.2 |
7.2.0 a 7.2.11 |
7.2.12 o superior |
|
FortiWeb 7.0 |
7.0.0 a 7.0.11 |
7.0.12 o superior |
Recomendaciones
-
En caso de contar con alguna de las versiones afectadas por las vulnerabilidades siga las recomendaciones y actualice a las versiones parcheadas.
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- PSIRT | FortiGuard Labs. (2025, Noviembre 14). FortiGuard Labs. Recuperado el 18 de noviembre de 2025, en: https://www.fortiguard.com/psirt/FG-IR-25-910
- Lyons, J. (2025, Noviembre 14). Fortinet finally cops to critical make-me-admin bug under active exploitation. The Register. Recuperado el 18 de noviembre de 2025, en: https://www.theregister.com/2025/11/14/fortinet_active_exploit_cve_2025_64446/
- The Hacker News. (2025k, Noviembre 14). Now-Patched Fortinet FortiWeb Flaw Exploited in Attacks to Create Admin Accounts. Recuperado el 18 de noviembre de 2025, en: https://thehackernews.com/2025/11/fortinet-fortiweb-flaw-actively.html
- CISA añade una vulnerabilidad explotada conocida al catálogo. (2025, Noviembre 14). CISA. Recuperado el 18 de noviembre de 2025, en: https://www.cisa.gov/news-events/alerts/2025/11/14/cisa-adds-one-known-exploited-vulnerability-catalog
- PSIRT | FortiGuard Labs. (2025, Noviembre 18). FortiGuard Labs. Recuperado el 20 de noviembre de 2025, en: https://www.fortiguard.com/psirt/FG-IR-25-513
- The Hacker News. (2025, Noviembre 19). Fortinet Warns of New FortiWeb CVE-2025-58034 Vulnerability Exploited in the Wild. Recuperado el 20 de noviembre de 2025, en: https://thehackernews.com/2025/11/fortinet-warns-of-new-fortiweb-cve-2025.html
- Analysis, Z. C. (2025, Noviembre 18). Fortinet FortiWeb CVE-2025-58034 OS Command Injection – Brief Summary and Technical Review. ZeroPath Blog | ZeroPath. Recuperado el 20 de noviembre de 2025, en: https://zeropath.com/blog/cve-2025-58034-fortinet-fortiweb-os-command-injection
