Vulnerabilidad en Fortinet FortiSIEM (CVE-2025-25256)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
12/08/2025
Última modificación:
15/08/2025
Descripción
Una vulnerabilidad de neutralización incorrecta de elementos especiales utilizados en un comando del SO ('OS Command Injection') [CWE-78] en Fortinet FortiSIEM versión 7.3.0 a 7.3.1, 7.2.0 a 7.2.5, 7.1.0 a 7.1.7, 7.0.0 a 7.0.3 y anteriores a 6.7.9 permite que un atacante no autenticado ejecute código o comandos no autorizados a través de solicitudes CLI manipuladas.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:fortinet:fortisiem:*:*:*:*:*:*:*:* | 5.4.0 (incluyendo) | 6.7.10 (excluyendo) |
| cpe:2.3:a:fortinet:fortisiem:*:*:*:*:*:*:*:* | 7.0.0 (incluyendo) | 7.0.4 (excluyendo) |
| cpe:2.3:a:fortinet:fortisiem:*:*:*:*:*:*:*:* | 7.1.0 (incluyendo) | 7.1.8 (excluyendo) |
| cpe:2.3:a:fortinet:fortisiem:*:*:*:*:*:*:*:* | 7.2.0 (incluyendo) | 7.2.6 (excluyendo) |
| cpe:2.3:a:fortinet:fortisiem:*:*:*:*:*:*:*:* | 7.3.0 (incluyendo) | 7.3.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://fortiguard.fortinet.com/psirt/FG-IR-25-152
- https://www.theregister.com/2025/08/13/fortinet_discloses_critical_bug/
- https://github.com/watchtowrlabs/watchTowr-vs-FortiSIEM-CVE-2025-25256
- https://labs.watchtowr.com/should-security-solutions-be-secure-maybe-were-all-wrong-fortinet-fortisiem-pre-auth-command-injection-cve-2025-25256/