Vulnerabilidades críticas y altas en FortiSIEM, FortiOS y FortiSwitchManager
El día 13 de enero del 2026, Fortinet compartió los detalles de múltiples vulnerabilidades que afectan a sus diferentes soluciones. Entre ellas, las más relevantes fueron dos: una vulnerabilidad critica que afecta a FortiSIEM y otra de alta severidad en FortiOS y FortiSwitchManager. Al momento, no se ha observado la explotación activa de ninguna de estas vulnerabilidades.
CVE-2025-64155
Con una puntuación CVSS de 9.4, la vulnerabilidad registrada como CVE-2025-64155 podría permitir que un atacante remoto no autenticado envíe solicitudes TCP especialmente diseñadas con el objetivo de ejecutar código y/o comandos no autorizados en FortiSIEM como usuario admin.
Esto se origina debido a que el servicio phMonitor, un proceso responsable de la comunicación de nodos por el puerto TCP 7900, expone gestores de comandos que no requieren autenticación. Al recibir solicitudes relacionadas al registro de eventos de seguridad en Elasticsearch, este servicio invoca un script de shell con parámetros manipulables por el usuario, lo que facilita la inyección de argumentos por medio de curl.
Como consecuencia a este error, un atacante podría usar la técnica reverse shell en el archivo "/opt/charting/redishb.sh", permitiendo una escalación de permisos de admin a root. Fortinet advierte que si un atacante obtiene acceso al puerto TCP 7900 podría invocar estas funciones y comprometer completamente el sistema, por lo que recomienda limitar el acceso a este puerto como medida de mitigación.
Esta vulnerabilidad afecta exclusivamente a nodos con rol “Super” o “Worker” en FortiSIEM y no impacta a FortiSIEM Cloud.
CVE-2025-25249
Debido a un desbordamiento de buffer basado en el heap en el componente cw_acd daemon de FortiOS y FortiSwitchManager, esta vulnerabilidad de alta importancia cuenta con una calificación CVSS de 7.4 y, de ser explotada correctamente, podría permitir que un atacante remoto no autenticado ejecute código o comandos en el sistema.
Como workaround, Fortinet recomienda deshabilitar el acceso “fabric” para cada interfaz o bloquear el acceso CAPWAP-CONTROL de los puertos 5246 al 5249 para todas las interfaces que tienen el acceso “fabric” habilitado.
Versiones Afectadas
CVE-2025-64155
| Productos | Versiones afectadas | Versiones corregidas |
| FortiSIEM | Versión 7.4.0 | Actualizar a versión 7.4.1 o posteriores |
| Versiones 7.3.0 a 7.3.4 | Actualizar a versión 7.3.5 o posteriores | |
| Versiones 7.2.0 a 7.2.6 | Actualizar a versión 7.2.7 o posteriores | |
| Versiones 7.1.0 a 7.1.8 | Actualizar a versión 7.1.9 o posteriores | |
| Versiones 7.0.0 a 7.0.4 | Migrar a una versión corregida | |
| Versiones 6.7.0 a 6.7.10 | Migrar a una versión corregida |
CVE-2025-25249
| Productos | Versiones afectadas | Versiones corregidas |
| FortiOS | Versiones 7.6.0 a 7.6.3 | Actualizar a versión 7.6.4 o posteriores |
| Versiones 7.4.0 a 7.4.8 | Actualizar a versión 7.4.9 o posteriores | |
| Versiones 7.2.0 a 7.2.11 | Actualizar a versión 7.2.12 o posteriores | |
| Versiones 7.0.0 a 7.0.17 | Actualizar a versión 7.0.18 o posteriores | |
| Versiones 6.4.0 a 6.4.16 | Actualizar a versión 6.4.17 o posteriores | |
| FortiSwitchManager | Versiones 7.2.0 a 7.2.6 | Actualizar a versión 7.2.7 o posteriores |
| Versiones 7.0.0 a 7.0.5 | Actualizar a versión 7.0.6 o posteriores |
Recomendaciones
- En caso de contar con una versión afectada, aplicar las actualizaciones correspondientes cuanto antes.
- Limitar el acceso al puerto TCP 7900 en FortiSIEM.
- Deshabilitar el acceso “fabric” para cada interfaz de FortiOS o FortiSwitchManager.
- Bloquear el acceso CAPWAP-CONTROL de los puertos 5246 al 5249 para todas las interfaces que tienen el acceso “fabric” habilitado en FortiOS o FortiSwitchManager.
- Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
- Auditar herramientas de acceso remoto. (NIST CSF, 2024)
- Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad. (NIST CSF, 2024)
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
- Habilitar la autenticación multifactorial.
Referencias
- Fortinet. (2025, Enero 13). Unauthenticated remote command injection. Recuperado el 14 de enero de 2026, en: https://www.fortiguard.com/psirt/FG-IR-25-772
- Fortinet. (2025, Enero 13). Heap-based buffer overflow in cw_acd daemon. Recuperado el 14 de enero de 2026, en: https://www.fortiguard.com/psirt/FG-IR-25-084
- Lakshmanan, R. (2025, Enero 14). Fortinet Fixes Critical FortiSIEM Flaw Allowing Unauthenticated Remote Code Execution. The Hacker News. Recuperado el 14 de enero de 2026, en: https://thehackernews.com/2026/01/fortinet-fixes-critical-fortisiem-flaw.html
