Resumen ejecutivo
Fortinet ha publicado varias actualizaciones de seguridad que abordan tres vulnerabilidades de alta severidad en diferentes productos. La primera, CVE‑2026‑24017, permite a un atacante remoto no autenticado eludir el rate‑limit de autenticación en FortiWeb y realizar ataques de fuerza bruta contra accesos administrativos. La segunda, CVE‑2025‑54820, es un desbordamiento de búfer en el servicio fgtupdates de FortiManager, que podría permitir la ejecución de comandos no autorizados si el servicio está habilitado, con actualizaciones ya disponibles para las líneas 7.4, 7.2 y 6.4 (o la opción de deshabilitar el servicio como mitigación temporal). La tercera, CVE‑2026‑24018, afecta a FortiClientLinux y posibilita una escalada de privilegios locales a root mediante un seguimiento indebido de enlaces simbólicos. FortiAppSec Cloud y FortiManager Cloud no se ven afectados por estas vulnerabilidades. Fortinet recomienda actualizar de inmediato a las versiones corregidas disponibles para cada producto para reducir el riesgo de explotación.
Recursos afectados
- FortiWeb (8.0.0 a 8.0.2)
- FortiWeb (7.6.0 a 7.6.5)
- FortiWeb (7.4.0 a 7.4.10)
- FortiWeb (7.2.0 a 7.2.11)
- FortiWeb (7.0.0 a 7.0.11)
- FortiManager (7.4.0 a 7.4.2)
- FortiManager (7.2.0 a 7.2.10)
- FortiManager (6.4 todas las versiones)
- FortiClientLinux (7.4.0 a 7.4.4)
- FortiClientLinux (7.2.2 a 7.2.12)
Análisis técnico
- CVE-2026-24017: Una vulnerabilidad de Control Inadecuado de la Frecuencia de Interacción [CWE-799] en Fortinet FortiWeb 8.0.0 a 8.0.2, entre otras versiones, permite que un atacante remoto no autenticado eluda el límite de tasa de autenticación a través de solicitudes manipuladas. El impacto potencial incluye el acceso no autorizado a sistemas protegidos. La explotación exitosa depende de los recursos del atacante y de la complejidad de la contraseña objetivo.
- CWE-799
- CVSS: 8.1 (alta)
- Vector CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
- Explotación: No detectada
- CVE-2025-54820: Una vulnerabilidad de desbordamiento de búfer basado en pila [CWE-121] en Fortinet FortiManager 7.4.0 a 7.4.2, 7.2.0 a 7.2.10, y todas las versiones de 6.4, puede permitir que un atacante remoto no autenticado ejecute comandos no autorizados a través de solicitudes manipuladas, si el servicio está habilitado. El impacto potencial incluye la ejecución de comandos maliciosos. La explotación exitosa depende de eludir los mecanismos de protección de la pila.
- CWE-121
- CVSS: 8.1 (alta)
- Vector CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
- Explotación: No detectada
- CVE-2026-24018: Una vulnerabilidad de enlace simbólico en Fortinet FortiClientLinux 7.4.0 a 7.4.4 y 7.2.2 a 7.2.12 puede permitir a un usuario local sin privilegios escalar sus permisos a nivel root. Esto podría conducir a un control total del sistema afectado. Para explotar esta vulnerabilidad, el atacante debe tener acceso local al sistema.
- CWE-61
- CVSS: 7.8 (alta)
- Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
- Explotación: No detectada
Mitigación / Solución
Para mitigar los problemas de seguridad descritos, el fabricante recomienda las siguientes acciones:
- FortiWeb:
- Actualizar a la versión 8.0.3 o superior
- Actualizar a la versión 7.6.6 o superior
- Actualizar a la versión 7.4.11 o superior
- Actualizar a la versión 7.2.12 o superior
- Actualizar a la versión 7.0.12 o superior
- FortiManager:
- Actualizar a la versión 7.4.3 o superior
- Actualizar a la versión 7.2.11 o superior
- Migrar a una versión corregida si se utiliza FortiManager 6.4
- Si el servicio "fgtupdates" está activo, desactivarlo usando el comando de configuración correspondiente.
- FortiClientLinux:
- Actualizar a la versión 7.4.5 o superior
- Actualizar a la versión 7.2.13 o superior