Vulnerabilidades críticas y altas en productos Fortinet Mayo 2026
El 12 de mayo del presente año, Fortinet publicó avisos de seguridad referentes a diferentes vulnerabilidades en algunas de sus soluciones. Entre esas vulnerabilidades se identificaron dos con mayor relevancia de acuerdo con su severidad, respectivamente: una vulnerabilidad alta que impacta a FortiOS y otra vulnerabilidad crítica que impacta a FortiSandbox (Cloud y PaaS).
La primera vulnerabilidad, CVE-2025-53844, tiene una calificación CVSS3.1 de 8.3 (severidad alta), debido a que un actor de amenaza podría ejecutar código y comandos no autorizados a través del envío de paquetes especialmente diseñados para explotar la vulnerabilidad, aprovechando un error que permite escribir fuera de los límites de memoria asignados por el sistema.
Por otro lado, la vulnerabilidad crítica: CVE-2026-26083, con calificación CVSS3.1 de 9.1 (y severidad crítica, alerta Fortinet), también afecta a múltiples productos de Fortinet. Se encuentra en un fallo de autenticación en el sistema de FortiSandbox Web UI, afectando a todas las variantes de este producto. Esta vulnerabilidad puede permitir a un actor de amenaza no autenticado en el sistema enviar peticiones HTTP maliciosas que desencadenen una ejecución no autorizada de código o de comandos en el sistema vulnerable
Comprometer un sistema explotando alguna de estas vulnerabilidades no solo pondría en riesgo al dispositivo afectado, sino que posiblemente afecte todo el proceso de detección de amenazas de la organización, debido a que ambos productos son ampliamente utilizados en ambientes empresariales para la detección y análisis de malware. Es por esto que se recomienda actualizar lo antes posible los productos afectados. Aún no se reportan avistamientos de intentos de explotación de esta vulnerabilidad.
Versiones Afectadas
CVE-2025-53844
| Productos | Versiones afectadas | Versiones corregidas |
| FortiOS | Versión 7.6.0 a 7.6.3 | Versión 7.6.4 o posteriores |
| Versión 7.4.0 a 7.4.8 | Versión 7.4.9 o posteriores | |
| Versión 7.2.0 a 7.2.11 | Versión 7.2.12 o posteriores |
CVE-2026-26083
| Productos | Versiones afectadas | Versiones corregidas |
| FortiSandbox | Versión 5.0.0 a 5.0.1 | Versión 5.0.2 o posteriores |
| Versión 4.4.0 a 4.4.8 | Versión 4.4.9 o posteriores | |
| FortiSandbox Cloud | Versión 24 | Migrar a una versión corregida. |
| Versión 23 | Migrar a una versión corregida. | |
| Versión 5.0.2 a 5.0.5 | Versión 5.0.6 o posteriores | |
| FortiSandbox PaaS | Versión 23.4 | Migrar a una versión corregida. |
| Versión 23.3 | Migrar a una versión corregida. | |
| Versión 23.1 | Migrar a una versión corregida. | |
| Versión 22.2 | Migrar a una versión corregida. | |
| Versión 22.1 | Migrar a una versión corregida. | |
| Versión 21.4 | Migrar a una versión corregida. | |
| Versión 21.3 | Migrar a una versión corregida. | |
| Versión 5.0.0 a 5.0.1 | Versión 5.0.2 o posteriores. | |
| Versión 4.4.5 a 4.4.8 | Versión 4.4.9 o posteriores. |
Recomendaciones
- Actualizar inmediatamente los productos afectados.
- Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
- Auditar herramientas de acceso remoto (NIST CSF, 2024).
- Revisar logs para de ejecución de software de acceso remoto (NIST CSF, 2024).
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad (NIST CSF, 2024).
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque (NIST CSF, 2024).
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
- Habilitar la autenticación multifactorial.
Referencias
- Fortinet. (2026, 12 mayo). Out-of-bounds access in CAPWAP daemon. Recuperado el 15 de mayo del 2026, en: https://www.fortiguard.com/psirt/FG-IR-26-123
- Fortinet. (2026, 12 mayo). Incorrect global authorization. Recuperado el 15 de mayo del 2026, en: https://www.fortiguard.com/psirt/FG-IR-26-136
- Baran, G. (2026, 12 mayo). Fortinet Patches Five Vulnerabilities Across FortiAP, FortiOS, and Enterprise Products. Cyber Security News. Recuperado el 15 de mayo del 2026, en: https://cybersecuritynews.com/fortinet-enterprise-products-vulnerabilities/
