Fortinet publicó una advertencia sobre una nueva vulnerabilidad en FortiWeb que ya está siendo explotada en entornos reales. La falla, identificada como CVE-2025-58034, tiene una severidad media con un puntaje CVSS de 6.7, pero su impacto puede ser considerable dependiendo del entorno.
La vulnerabilidad corresponde a un problema de inyección de comandos del sistema operativo (OS Command Injection), que permite a un atacante autenticado ejecutar código no autorizado mediante solicitudes HTTP manipuladas o comandos enviados por la CLI.
Aunque el atacante requiere autenticarse previamente por otros medios, la explotación de este fallo puede permitir la ejecución de comandos arbitrarios en el sistema subyacente, abriendo la puerta a movimientos laterales y acceso no autorizado.
Fortinet ya lanzó parches para las siguientes ramas:
La vulnerabilidad fue reportada por el investigador Jason McFadyen (Trend Micro) bajo el proceso de divulgación responsable.
Este aviso llega pocos días después de revelarse que Fortinet parchó silenciosamente otra vulnerabilidad crítica de FortiWeb, CVE-2025-64446 (CVSS 9.1), incluida en la versión 8.0.2 sin un comunicado público inicial.
La falta de información oportuna en estos casos deja a los defensores en desventaja, sin la visibilidad necesaria para evaluar el riesgo o activar planes de mitigación. Como advirtió VulnCheck, cuando los proveedores no comunican nuevas fallas, indirectamente facilitan la labor de los atacantes.
a agencia CISA añadió CVE-2025-58034 a su catálogo de vulnerabilidades explotadas activamente (KEV), exigiendo a las agencias federales estadounidenses aplicar el parche a más tardar el 25 de noviembre de 2025.
Para todas las organizaciones, la recomendación es actualizar de inmediato, reforzar la supervisión de sus dispositivos FortiWeb y revisar configuraciones de acceso para detectar actividad sospechosa.
⸻
Fortinet has issued an alert for a newly discovered FortiWeb vulnerability, now confirmed as being exploited in real-world attacks. Tracked as CVE-2025-58034, the flaw carries a medium severity rating (CVSS 6.7), yet it can have meaningful impact depending on the deployment.
The issue stems from an OS command injection weakness, which allows an authenticated attacker to execute unauthorized system-level commands through crafted HTTP requests or CLI inputs.
While attackers must authenticate first through another method, chaining that step with this vulnerability gives them the ability to run arbitrary commands on the underlying system, potentially enabling lateral movement and unauthorized access.
Fortinet has released patches for the following versions:
The flaw was responsibly disclosed by Jason McFadyen of Trend Micro.
This disclosure follows recent reports that Fortinet had silently patched another critical FortiWeb flaw, CVE-2025-64446 (CVSS 9.1), in version 8.0.2 without initially issuing an advisory.
This lack of timely communication places defenders at a disadvantage, limiting their ability to assess exposure and respond effectively. As VulnCheck recently noted, withholding security information benefits attackers far more than defenders.
CISA has added CVE-2025-58034 to its Known Exploited Vulnerabilities (KEV) catalog, requiring U.S. federal agencies to patch the flaw by November 25, 2025.
For all organizations using FortiWeb, immediate updates and enhanced monitoring are strongly recommended.
El pentesting o Test de penetración, en español) es una técnica de ciberseguridad que consistente en atacar entornos informáticos con la intención de descubrir vulnerabilidades en los mismos, con el objetivo de reunir la información necesaria para poder prevenir en el futuro ataques externos hacia esos mismos …
El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:
En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.
El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.
Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/
Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.
La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:
La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.
