Fortinet ha emitido una alerta de seguridad crucial sobre una nueva vulnerabilidad en su producto FortiWeb (un firewall de aplicaciones web), confirmando que la falla ya está siendo explotada activamente por atacantes. Esta vulnerabilidad, clasificada como de gravedad media, requiere una acción inmediata por parte de los administradores de sistemas.
Detalles de la Vulnerabilidad (CVE-2025-58034)
La falla de seguridad, identificada como CVE-2025-58034, presenta una puntuación CVSS de 6.7. Fortinet la describe como una vulnerabilidad de “Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’)” (CWE-78).
- Impacto: Permite a un atacante autenticado ejecutar código no autorizado en el sistema subyacente.
- Vector de ataque: El atacante puede lograr la ejecución de comandos del sistema operativo a través de solicitudes HTTP maliciosas o comandos CLI (Command Line Interface).
- Prerrequisito de explotación: La vulnerabilidad requiere que el atacante obtenga primero acceso autenticado al sistema, lo que implica que la explotación exitosa podría ser encadenada con otro vector de acceso.
La vulnerabilidad fue reportada por el investigador Jason McFadyen de Trend Micro a través de la política de divulgación responsable de Fortinet.
Versiones Afectadas y Parches Recomendados
Fortinet ha proporcionado parches para todas las versiones afectadas. Se insta a los usuarios a actualizar a las siguientes versiones para mitigar el riesgo de explotación:
- FortiWeb 8.0.0 a 8.0.1: Actualizar a la versión 8.0.2 o superior.
- FortiWeb 7.6.0 a 7.6.5: Actualizar a la versión 7.6.6 o superior.
- FortiWeb 7.4.0 a 7.4.10: Actualizar a la versión 7.4.11 o superior.
- FortiWeb 7.2.0 a 7.2.11: Actualizar a la versión 7.2.12 o superior.
- FortiWeb 7.0.0 a 7.0.11: Actualizar a la versión 7.0.12 o superior.
Controversia de Parches Silenciosos
El anuncio de Fortinet sobre CVE-2025-58034 coincide con una controversia reciente sobre el manejo de otra vulnerabilidad crítica. Fortinet confirmó que había parcheado silenciosamente otra vulnerabilidad crítica de FortiWeb, CVE-2025-64446 (puntuación CVSS de 9.1), en la versión 8.0.2, sin emitir un aviso de seguridad público en ese momento.
- Justificación de Fortinet: Un portavoz de Fortinet mencionó que la compañía “equilibra diligentemente nuestro compromiso con la seguridad de nuestros clientes y nuestra cultura de transparencia responsable.”
- Críticas: La práctica de parches silenciosos ha sido criticada por la comunidad de ciberseguridad. VulnCheck señaló que al no comunicar nuevos problemas de seguridad, los proveedores “están emitiendo una invitación a los atacantes mientras eligen mantener esa misma información fuera del alcance de los defensores”.
Advertencia de CISA y Plazo de Parcheo
La Agencia de Ciberseguridad e Infraestructura de EE. UU. (CISA) ha reaccionado rápidamente ante la amenaza. CISA ha añadido CVE-2025-58034 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), lo que subraya la gravedad y la explotación activa de la falla.
CISA ha ordenado a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen los parches correspondientes a más tardar el 25 de noviembre de 2025.
Conclusión
La explotación activa de la vulnerabilidad CVE-2025-58034, combinada con la designación KEV de CISA, eleva la urgencia de aplicar parches de seguridad a los sistemas FortiWeb afectados. Las organizaciones deben priorizar la actualización a las versiones más recientes para mitigar el riesgo de inyección de comandos y protegerse contra posibles intrusiones.
Referencias
- CVE-2025-58034: Vulnerabilidad de inyección de comandos del sistema operativo en FortiWeb.
- CVE-2025-64446: Vulnerabilidad crítica de FortiWeb parcheada silenciosamente.
- Catálogo KEV de CISA: CISA Known Exploited Vulnerabilities Catalog.