Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Omisión de autenticación SSO administrativa en FortiCloud de Fortinet

Fecha de publicación 28/01/2026
Identificador
INCIBE-2026-061
Importancia
5 - Crítica
Recursos Afectados
  • FortiAnalyzer:
    • versión 7.6: afectadas 7.6.0 a 7.6.5;
    • versión 7.4: afectadas 7.4.0 a 7.4.9;
    • versión 7.2: afectadas 7.2.0 a 7.2.11;
    • versión 7.0: afectadas 7.0.0 a 7.0.15.
  • FortiManager:
    • versión 7.6: afectadas 7.6.0 a 7.6.5;
    • versión 7.4: afectadas 7.4.0 a 7.4.9;
    • versión 7.2: afectadas 7.2.0 a 7.2.11;
    • versión 7.0: afectadas 7.0.0 a 7.0.15.
  • FortiOS:
    • versión 7.6: afectadas 7.6.0 a 7.6.5;
    • versión 7.4: afectadas 7.4.0 a 7.4.10;
    • versión 7.2: afectadas 7.2.0 a 7.2.12;
    • versión 7.0: afectadas 7.0.0 a 7.0.18.
  • FortiProxy:
    • versión 7.6: afectadas 7.6.0 a 7.6.4;
    • versión 7.4: afectadas 7.4.0 a 7.4.12;
    • versión 7.2: todas las versiones afectadas;
    • versión 7.0: todas las versiones afectadas.
Descripción

FortiGuard Labs ha publicado una vulnerabilidad de severidad crítica que podría permitir a un atacante iniciar sesión como administrador.

Solución

Actualizar a las siguientes versiones en función del producto afectado:

  • FortiAnalyzer:
    • versión 7.6: 7.6.6 o superior;
    • versión 7.4: 7.4.10 o superior;
    • versión 7.2: 7.2.12 o superior;
    • versión 7.0: 7.0.16 o superior.
  • FortiManager:
    • versión 7.6: 7.6.6 o superior;
    • versión 7.4: 7.4.10 o superior;
    • versión 7.2: 7.2.13 o superior;
    • versión 7.0: 7.0.16 o superior.
  • FortiOS:
    • versión 7.6: 7.6.6 o superior;
    • versión 7.4: 7.4.11 o superior;
    • versión 7.2: 7.2.13 o superior;
    • versión 7.0: 7.0.19 o superior.
  • FortiProxy:
    • versión 7.6: 7.6.6 o superior;
    • versión 7.4: 7.4.13 o superior;
    • versión 7.2: migrar a una versión corregida;
    • versión 7.0: migrar a una versión corregida.

Existen otras soluciones alternativas e indicadores de compromiso (IoC) que se recomienda revisar en el enlace de las referencias.

Detalle
  • CVE-2026-24858: omisión de autenticación mediante una ruta o canal alternativo. Esta vulnerabilidad podría permitir que un atacante con una cuenta de FortiCloud y un dispositivo registrado, inicie sesión en otros dispositivos registrados en otras cuentas, si la autenticación SSO de FortiCloud está habilitada en esos dispositivos. La función de inicio de sesión SSO de FortiCloud no está habilitada en la configuración predeterminada de fábrica. Sin embargo, cuando un administrador registra el dispositivo en FortiCare desde la interfaz gráfica de usuario (GUI), a menos que desactive la opción "Permitir inicio de sesión administrativo con FortiCloud SSO" en la página de registro, el inicio de sesión SSO de FortiCloud se habilita al registrarse.

Nota: esta vulnerabilidad fue explotada por dos cuentas maliciosas de FortiCloud, las cuales fueron bloqueadas el 22/01/2026. Para proteger a sus clientes de futuras vulnerabilidades, Fortinet desactivó el SSO de FortiCloud el 26/01/2026. Se volvió a habilitar el 27/01/2026 y ya no permite el inicio de sesión desde dispositivos con versiones vulnerables.

CVE
Explotación
Fabricante
fortinet
Identificador CVE
CVE-2026-24858
Severidad
Crítica
Listado de referencias
Administrative FortiCloud SSO authentication bypass
Etiquetas