Los investigadores advierten sobre una vulnerabilidad de inyección de comandos del sistema operativo en Fortinet FortiWeb pocos días después de que la compañía confirmara la explotación de una vulnerabilidad crítica separada que fue parcheada silenciosamente semanas antes de que la compañía emitiera una guía de mitigación.
La vulnerabilidad recientemente revelada, rastreada como CVE-2025-58034implica la neutralización inadecuada de elementos especiales utilizados en un comando del sistema operativo en Fortinet FortiWeb.
La falla en el firewall de aplicaciones web, que tiene una puntuación de gravedad de 6,7, permite a un atacante autorizado ejecutar código en un sistema mediante solicitudes HTTP o código CLI manipulados.
en un aviso emitido el martesFortinet advirtió que la falla ha sido explotada en la naturaleza.
Los investigadores de Trend Micro dijeron que descubrieron la falla mientras investigaban un problema de seguridad anterior en el mismo producto. La revisión encontró que «los usuarios autenticados podrían ejecutar comandos del sistema a través de la interfaz web, lo que pone a los clientes en riesgo de que los atacantes tomen el control del dispositivo y se adentren más en la red» si los sistemas no están parcheados, dijo a Cybersecurity Dive Stephen Hilt, investigador senior de amenazas de Trend Micro.
El Agencia de Ciberseguridad y Seguridad de Infraestructuras el martes agregó la falla de inyección de comandos a su catálogo de vulnerabilidades explotadas conocidas.
La empresa ha sido criticada por la comunidad de seguridad. después de que emitió un parche silencioso para CVE-2025-64446, una falla de recorrido de ruta relativa en Fortinet FortiWeb. La compañía emitió un parche para la falla a fines de octubre, pero no reveló públicamente la medida hasta el viernes, dejando a los equipos de seguridad inconscientes.
Los investigadores de Rapid7 dijeron que parece Ambas vulnerabilidades fueron parcheadas antes de su divulgación. y advirtió sobre el riesgo de que los atacantes pudieran encadenar las fallas. Rapid7 Labs pudo reproducir ambas vulnerabilidades y pudo verificar que las vulnerabilidades, cuando operan en conjunto, le dan al atacante una cadena de exploits RCE completamente no autenticada, dijo Stephen Fewer, investigador principal senior de Rapid7, a Cybersecurity Dive.
El hecho de que se informara que CVE-2025-58034 había sido explotado en estado salvaje proporciona información adicional sobre las capacidades de los atacantes.
«Esto confirmó que quienquiera que estuviera explotando la vulnerabilidad autenticada tenía conocimiento previo de las credenciales de administrador existentes o tenía una omisión de autenticación adecuada, y CVE-2025-64446 es perfecto para satisfacer este requisito», dijo Fewer.
Los investigadores de GreyNoise dijeron que es Honeypots detectaron actividad de amenaza. apuntando a CVE-2025-64446 dentro de las 72 horas posteriores a la adición de la falla al catálogo KEV. A partir del lunes se observó un aumento en el tráfico de exploits.
Fortinet no respondió a una solicitud de comentarios. La compañía dijo la semana pasada que se estaba comunicando con los clientes afectados sobre cómo abordar estos problemas de seguridad.
Fuente