Ausencia de autenticación en productos Fortinet
Los siguientes productos de Fortinet están afectados:
- FortiOS, versión 7.6.0, y versiones comprendidas entre la 7.4.4 y la 7.4.6.
- FortiProxy, versiones comprendidas entre la 7.6.0 y la 7.6.1.
- FortiSwitchManager, versión 7.2.5.
Cam B de Vital, y Matheus Maia de NBS Telecom, han reportado una vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante acceder al dispositivo como un administrador válido a través de un bypass de autenticación.
Fortinet ha resuelto la vulnerabilidad reportada en las siguientes versiones:
- FortiOS:
- actualizar a la versión 7.6.1 o superior;
- actualizar a la versión 7.4.7 o superior.
- FortiProxy: actualizar a la versión 7.6.2 o superior.
- FortiSwitchManager: actualizar a la versión 7.2.6 o superior.
Vulnerabilidad de falta de autenticación para una función crítica en FortiOS, FortiProxy y FortiSwitchManager TACACS+ configurado para utilizar en la autenticación un servidor TACACS+ remoto, que a su vez haya sido configurado para utilizar autenticación ASCII.
La explotación de esta vulnerabilidad podría permitir a un atacante, con conocimiento de una cuenta de administrador existente, acceder al dispositivo como un administrador válido a través de un bypass de autenticación.
Se ha asignado el identificador CVE-2025-22252 para esta vulnerabilidad.
