2. Vulnerabilidad crítica de omisión de autenticación de FortiCloud SSO en productos Fortinet - CVE-2025-59718 - 22 de diciembre de 2025
Fecha de publicación: Lun, 22/12/2025 - 11:44

Aviso de seguridad

Nivel de peligrosidad: Crítico

Descripción

La vulnerabilidad se debe a una verificación inadecuada de la firma criptográfica en mensajes SAML cuando se utiliza la función FortiCloud Single Sign-On (SSO). Si esta función está habilitada —lo cual ocurre automáticamente en algunos dispositivos registrados a FortiCare a menos que se desactive— un atacante puede enviar un mensaje SAML especialmente diseñado para engañar al sistema y obtener acceso administrativo completo, sin necesidad de autenticarse legítimamente.

Recursos afectados

Productos Fortinet con versiones específicas vulnerables incluyen:

  • FortiOS (7.0.0–7.0.17, 7.2.0–7.2.11, 7.4.0–7.4.8, 7.6.0–7.6.3)
  • FortiProxy (7.0.0–7.0.21, 7.2.0–7.2.14, 7.4.0–7.4.10, 7.6.0–7.6.3)
  • FortiSwitchManager (7.0.0–7.0.5, 7.2.0–7.2.6)

Nota: La función FortiCloud SSO es el vector de explotación principal y suele habilitarse automáticamente cuando los dispositivos se registran en FortiCare, a menos que el administrador la desactive.

Solución

Los proveedores han publicado actualizaciones que corrigen esta vulnerabilidad. Las soluciones incluyen actualizar cada producto afectado a una versión no vulnerable según los siguientes ejemplos recomendados:

  • FortiOS → 7.0.18+, 7.2.12+, 7.4.9+, 7.6.4+
  • FortiProxy → 7.0.22+, 7.2.15+, 7.4.11+, 7.6.4+
  • FortiSwitchManager → 7.0.6+, 7.2.7+

Siempre verifica con la guía oficial del proveedor y el comunicado de seguridad más reciente para versiones exactas de corrección y requisitos adicionales de actualización.

Recomendaciones

  • Actualizar inmediatamente todos los dispositivos afectados a versiones parcheadas.
  • Si no es posible actualizar de inmediato, deshabilitar la función FortiCloud SSO en la configuración del dispositivo como mitigación temporal.
  • Restringir el acceso de administración de los dispositivos a redes internas seguras.
  • Cambiar credenciales administrativas después de aplicar parches si se sospecha que hubo explotación.
  • Monitorizar registros de acceso y actividad inusual para detectar posibles intrusiones.

Referencias

NVD

CISA