Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos de Fortinet

Fecha de publicación 14/01/2026
Identificador
INCIBE-2026-025
Importancia
5 - Crítica
Recursos Afectados

Para los avisos críticos los productos afectados son:

  • FortiSIEM 7.4, versión 7.4.0;
  • FortiSIEM 7.3, versiones desde la 7.3.0 hasta la 7.3.4;
  • FortiSIEM 7.2, versiones desde la 7.2.0 hasta la 7.2.6;
  • FortiSIEM 7.1, versiones desde la 7.1.0 hasta la 7.1.8;
  • FortiSIEM 7.0, versiones desde la 7.0.0 hasta la 7.0.4;
  • FortiSIEM 6.7, versiones desde la 6.7.0 hasta la 6.7.10;
  • FortiFone 7.0, versiones desde la 7.0.0 hasta la 7.0.1;
  • FortiFone 3.0, versiones desde la 3.0.13 hasta la 3.0.23.

La vulnerabilidad no afecta a los nodos Collector, únicamente a los nodos Super y Worker.

Descripción

Fortinet ha publicado 6 avisos de seguridad, 2 críticos, 1 alto, 3 medios y 1 bajo. Si se explotan estas vulnerabilidades de forma satisfactoria, entre otras acciones, podría permitirse a un atacante no autenticado ejecutar comandos o código no autorizado mediante solicitudes TCP manipuladas y obtener la configuración del dispositivo.

Solución

Actualizar el producto a las siguientes versiones:

  • FortiSIEM 7.4, versión 7.4.1 o posterior;
  • FortiSIEM 7.3, versión 7.3.5 o posterior;
  • FortiSIEM 7.2, versión 7.2.7 o posterior;
  • FortiSIEM 7.1, versión 7.1.9 o posterior;
  • FortiSIEM 7.0, migrar a una versión con solución;
  • FortiSIEM 6.7, migrar a una versión con solución;
  • FortiFone 7.0, versión 7.0.2 o posterior;
  • FortiFone 3.0, versión 3.0.24 o posterior.

Para los productos FortiSIEM, como medida de contingencia se puede limitar el acceso al puerto phMonitor (7900).

Detalle

CVE-2025-64155: neutralización incorrecta de elementos especiales empleados en un comando del SO (inyección de comandos en SO), puede permitir a un atacante no autenticado ejecutar código o comandos del SO no autorizados por solicitudes TCP manipuladas. Por tanto, un atacante no autenticado con acceso por red a un servicio básico de FortiSIEM puede obtener control total como administrador de la aplicación y escalar privilegios a root.

CVE-2025-47855: la página FortiFone Web Portal tiene una vulnerabilidad de exposición de información sensible a un actor no autorizado que puede permitir a un atacante no autenticado obtener la configuración del dispositivo mediante solicitudes HTTP o HTTPS manipuladas.

CVE
Explotación
No
Fabricante
fortiguard
Identificador CVE
CVE-2025-64155
Severidad
Crítica
Explotación
No
Fabricante
fortiguard
Identificador CVE
CVE-2025-47855
Severidad
Crítica
Listado de referencias
Fortiguard (FG-IR-25-772) - Unauthenticated remote command injection
Fortiguard (FG-IR-25-260) - Unauthenticated access to local configuration
Horizon3.ai - CVE-2025-64155 Fortinet FortiSIEM Arbitrary File Write Remote Code Execution Vulnerability
Center for Internet Security - Multiple Vulnerabilities in Fortinet Products Could Allow for Arbitrary Code Execution
Etiquetas