Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en FortiOS de Fortinet (CVE-2026-25815)

Gravedad CVSS v3.1:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
05/02/2026
Última modificación:
15/04/2026

Descripción

Fortinet FortiOS hasta 7.6.6 permite a los atacantes descifrar credenciales LDAP almacenadas en archivos de configuración del dispositivo, según se explotó en la naturaleza desde el 16-12-2025 hasta 2026 (por defecto, la clave de cifrado es la misma en todas las instalaciones de los clientes). NOTA: la posición del Proveedor es que la instancia de CWE-1394 no es una vulnerabilidad porque se 'supone que los clientes deben habilitar' una opción no predeterminada que elimina la debilidad. Sin embargo, esa opción no predeterminada puede interrumpir la funcionalidad como se muestra en el documento 'Managing FortiGates with private data encryption', y, por lo tanto, no es intencionalmente una opción predeterminada.

Impacto

Vector 3.x
CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:C/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 3.20 BAJA
Vector: CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:C/C:L/I:N/A:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
3.20
Gravedad 3.x
BAJA

Referencias a soluciones, herramientas e información