Los investigadores de seguridad advierten que dos vulnerabilidades reveladas recientemente en Fortinet FortiWeb pueden explotarse en ataques dirigidos a versiones anteriores y no compatibles del producto de firewall de aplicaciones web.
Fortinet confirmó en noviembre que una vulnerabilidad de recorrido de ruta relativa, rastreada como CVE-2025-64446, y una vulnerabilidad de inyección de comandos del sistema operativo, rastreada como CVE-2025-58034estaban siendo explotados en la naturaleza.
Sin embargo, los investigadores de Rapid7 el lunes dijo que se encontraron las vulnerabilidades en versiones de FortiWeb anteriores a las conocidas anteriormente.
La guía de Fortinet para abordar CVE-2025-64446 dijo que las versiones 7.0.0 a 7.0.11 y superiores hasta las versiones 8.0.0 a 8.0.1 eran vulnerables.
Stephen Fewer, investigador principal de seguridad de Rapid7descubrió que las versiones anteriores y no compatibles de FortiWeb 6.x también eran vulnerables tanto a CVE-2025-64446 como a CVE 2025-58034.
Los investigadores de Rapid7 dijeron que no han visto directamente actividad de amenazas dirigida a versiones anteriores de FortiWeb, pero han notificado a los clientes y son conscientes de que la Agencia de Seguridad de Infraestructura y Ciberseguridad agregando las fallas a las vulnerabilidades explotadas conocidas catalogar.
Fortinet tenía anteriormente fueron objeto de críticas generalizadas por emitir un parche silencioso luego de las revelaciones iniciales de CVE-2025-64446 en octubre. Una empresa llamada Defused publicó a principios de octubre un blog sobre actividades sospechosas.
El parche silencioso esencialmente significó que la compañía emitió un parche sin proporcionar orientación oficial ni un identificador CVE. Por lo tanto, los equipos de seguridad de las empresas que utilizan el producto carecían de instrucciones sobre qué buscar. No sabían cuál era el riesgo real ni cómo priorizar los esfuerzos de mitigación.
«En este caso, vimos explotación en la naturaleza incluso antes de que se emitieran CVE, lo cual es un gran problema para los defensores», dijo a Cybersecurity Dive Ryan Emmons, investigador de seguridad del personal de Rapid7. «Muchos de los procesos y pasos de clasificación que se toman cuando surgen nuevas vulnerabilidades dependen de esos identificadores CVE».