Fortinet advirtió sobre una nueva falla de seguridad en FortiWeb que, según dijo, ha sido explotada en estado salvaje.
La vulnerabilidad de gravedad media, rastreada como CVE-2025-58034tiene una puntuación CVSS de 6,7 sobre un máximo de 10,0.
«Una neutralización inadecuada de elementos especiales utilizados en una vulnerabilidad de comando del sistema operativo (‘inyección de comando del sistema operativo’) (CWE-78) en FortiWeb puede permitir que un atacante autenticado ejecute código no autorizado en el sistema subyacente a través de solicitudes HTTP diseñadas o comandos CLI», dijo la compañía en un aviso del martes.
En otras palabras, los ataques exitosos requieren que un atacante primero se autentique a través de otros medios y lo encadene con CVE-2025-58034 para ejecutar comandos arbitrarios del sistema operativo.
Se ha abordado en las siguientes versiones:
- FortiWeb 8.0.0 a 8.0.1 (Actualice a 8.0.2 o superior)
- FortiWeb 7.6.0 a 7.6.5 (Actualice a 7.6.6 o superior)
- FortiWeb 7.4.0 a 7.4.10 (Actualice a 7.4.11 o superior)
- FortiWeb 7.2.0 a 7.2.11 (Actualice a 7.2.12 o superior)
- FortiWeb 7.0.0 a 7.0.11 (Actualice a 7.0.12 o superior)
La compañía le dio crédito al investigador de Trend Micro, Jason McFadyen, por informar sobre la falla según su política de divulgación responsable.
Curiosamente, el desarrollo se produce días después de que Fortinet confirmara que parcheó silenciosamente otra vulnerabilidad crítica de FortiWeb (CVE-2025-64446, puntuación CVSS: 9.1) en la versión 8.0.2.
«Activamos nuestra respuesta PSIRT y nuestros esfuerzos de remediación tan pronto como nos enteramos de este asunto, y esos esfuerzos continúan», dijo un portavoz de Fortinet a The Hacker News. «Fortinet equilibra diligentemente nuestro compromiso con la seguridad de nuestros clientes y nuestra cultura de transparencia responsable».
Actualmente no está claro por qué Fortinet optó por corregir las fallas sin publicar un aviso. Pero la medida ha dejado a los defensores en desventaja, impidiéndoles en la práctica montar una respuesta adecuada.
«Cuando los proveedores de tecnología populares no logran comunicar nuevos problemas de seguridad, están emitiendo una invitación a los atacantes y optan por ocultar esa misma información a los defensores», señaló VulnCheck la semana pasada.