Fortinet advierte sobre la nueva vulnerabilidad FortiWeb CVE-2025-58034 explotada en estado salvaje

Fortinet advirtió sobre una nueva falta de seguridad en FortiWeb que, según dijo, ha sido explotada en estado salvaje.

La vulnerabilidad de agravación media, rastreada como CVE-2025-58034tiene una puntuación CVSS de 6,7 sobre un mayor de 10,0.

“Una neutralización inadecuada de rudimentos especiales utilizados en una vulnerabilidad de comando del sistema eficaz (‘inyección de comando del sistema eficaz’) (CWE-78) en FortiWeb puede permitir que un atacante autenticado ejecute código no competente en el sistema subyacente a través de solicitudes HTTP diseñadas o comandos CLI”, dijo la compañía en un aviso del martes.

En otras palabras, los ataques exitosos requieren que un atacante primero se autentique a través de otros medios y lo encadene con CVE-2025-58034 para ejecutar comandos arbitrarios del sistema eficaz.

Se ha abordado en las siguientes versiones:

• FortiWeb 8.0.0 a 8.0.1 (Actualice a 8.0.2 o superior)
• FortiWeb 7.6.0 a 7.6.5 (Actualice a 7.6.6 o superior)
• FortiWeb 7.4.0 a 7.4.10 (Actualice a 7.4.11 o superior)
• FortiWeb 7.2.0 a 7.2.11 (Actualice a 7.2.12 o superior)
• FortiWeb 7.0.0 a 7.0.11 (Actualice a 7.0.12 o superior)

La compañía le dio crédito al investigador de Trend Micro, Jason McFadyen, por informar sobre la falta según su política de divulgación responsable.

Curiosamente, el avance se produce días posteriormente de que Fortinet confirmara que parcheó silenciosamente otra vulnerabilidad crítica de FortiWeb (CVE-2025-64446, puntuación CVSS: 9.1) en la traducción 8.0.2.

“Activamos nuestra respuesta PSIRT y nuestros esfuerzos de remediación tan pronto como nos enteramos de este asunto, y esos esfuerzos continúan”, dijo un portavoz de Fortinet a The Hacker News. “Fortinet equilibra diligentemente nuestro compromiso con la seguridad de nuestros clientes y nuestra civilización de transparencia responsable”.

Actualmente no está claro por qué Fortinet optó por corregir las fallas sin propagar un aviso. Pero la medida ha dejado a los defensores en desventaja, impidiéndoles en la actos aparearse una respuesta adecuada.

“Cuando los proveedores de tecnología populares no logran comunicar nuevos problemas de seguridad, están emitiendo una invitación a los atacantes y optan por ocultar esa misma información a los defensores”, señaló VulnCheck la semana pasada.