Vulnerabilidades

Vulnerabilidad en FortiWEB

18/11/2025
Se identificó una vulnerabilidad (CVE-2025-64446) de tipo Path Traversal en los dispositivos FortiWeb de Fortinet que permite a un atacante sin autenticación ejecutar comandos administrativos completos. Esta falla ya está siendo explotada en entornos reales.
fortinet

Detalles técnicos

La vulnerabilidad CVE-2025-64446 se basa en dos debilidades conjuntas:

  • Un manejo inadecuado de rutas relativas en la interfaz GUI/API de FortiWeb, lo que permite a un atacante forzar la ejecución de solicitudes HTTP/HTTPS manipuladas que acceden a componentes internos privilegiados a través de rutas de directorio (path traversal).
  • Un bypass de autenticación o un acceso administrativo sin credenciales gracias a la manipulación de cabeceras (header) o parámetros que no se validan correctamente, permitiendo que el atacante se presente como administrador. 
Productos AfectadosVersiones
FortiWeb

7.0.0 a 7.0.11

7.2.0 a 7.2.11

7.4.0 a 7.4.9

7.6.0 a 7.6.4

8.0.0 a 8.0.1

El efecto conjunto es que un atacante remoto, sin necesidad de autenticarse, puede ejecutar comandos como administrador, modificar la configuración del dispositivo, crear cuentas administrativas, e incluso tomar control completo del sistema.

Las fuentes oficiales lo califican como de severidad crítica, con un puntaje CVSS 3.x de 9.8 (vector AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) según NVD. Además, esta vulnerabilidad ya forma parte del catálogo de explotaciones conocidas (KEV) de la Cybersecurity and Infrastructure Security Agency (CISA).

 

Remediación

Se recomienda actualizar el software FortiWeb a una versión no vulnerable:

  • Para 8.0.x → actualizar a 8.0.2 o superior.
  • Para 7.6.x → actualizar a 7.6.5 o superior.
  • Para 7.4.x → actualizar a 7.4.10 o superior.
  • Para 7.2.x → actualizar a 7.2.12 o superior.
  • Para 7.0.x → actualizar a 7.0.12 o superior.

 

Mitigación

Si la actualización inmediata no es posible:

  • Deshabilitar o restringir el acceso HTTP/HTTPS al dispositivo desde interfaces externas o de gestión remota expuesta a internet.
  • Asegurar que solo redes de gestión confiables tengan acceso al dispositivo.
  • Revisar los logs del sistema y verificar que no se hayan creado cuentas administrativas inesperadas, ni modificado la configuración del dispositivo sin autorización.

Como medida adicional de monitoreo y detección:

  • Verificar si el dispositivo ha recibido peticiones con rutas manipuladas o que intentan acceder a ../cgi-bin/fwbcgi u otros componentes internos.

Implementar alertas sobre creación de cuentas administrativas o cambios en la configuración del sistema fuera de horario o desde IPs no habituales.nistrativas o cambios en la configuración del sistema fuera de horario o desde IPs no habituales.

Referencias

Etiquetas

Amenazas y alertas Comunidad Técnica