FortiOS: Bypass de restricciones CLI permite ejecutar comandos del sistema (CVE-2025-58325)

Fortinet divulgó una vulnerabilidad en FortiOS que permite a atacantes locales autenticados y con altos privilegios eludir restricciones del CLI y ejecutar comandos del sistema no autorizados. La falla está rastreada como CVE-2025-58325 y, aunque no es explotable de forma remota, su baja complejidad y el alto impacto en C/I/D la convierten en un riesgo relevante en entornos con cuentas comprometidas o abuso interno.

Vulnerabilidad identificada:

• CVE-2025-58325 – CVSS 7.8 (Alta): La vulnerabilidad reside en el componente de línea de comandos (CLI) de FortiOS. Una validación insuficiente en la provisión de funcionalidades (CWE-684) permite a un usuario privilegiado bypassear restricciones y forzar la ejecución de operaciones a nivel de sistema. Este comportamiento habilita acciones como toma de control del dispositivo, extracción de datos o movimientos laterales dentro de la red si se combinan con otras capacidades del actor. No requiere interacción del usuario y sí requiere acceso local autenticado.

Productos y Versiones afectadas

Es importante destacar que esta vulnerabilidad únicamente afecta a los siguientes modelos acorde al sitio oficial PSIRT de Fortinet:

Plataformas afectadas: 100E/101E, 100F/101F, 1100E/1101E, 1800F/1801F, 2200E/2201E, 2600F/2601F, 3300E/3301E, 3400E/3401E, 3500F/3501F, 3600E/3601E, 3800D, 3960E, 3980E, 4200F/4201F, 4400F/4401F, 5001E, 6000F, 7000E, 7000F.

Producto	Versiones Afectadas	Versión Corregida
FortiOS 7.6	7.6.0	Actualizar a la versión 7.6.1 o superior
FortiOS 7.4	7.4.0 hasta 7.4.5	Actualizar a la versión 7.4.6 o superior
FortiOS 7.2	7.2.0 hasta 7.2.10	Actualizar a la versión 7.2.11 o superior
FortiOS 7.0	7.0.0 hasta 7.0.15	Actualizar a la versión 7.0.16 o superior
FortiOS 6.4	Todas las versiones	Migrar a una versión corregida

Recomendaciones:

• Actualizar inmediatamente FortiOS a la versión que contenga el parche de seguridad correspondiente.
• Aplicar mínimo privilegio en cuentas con acceso a CLI y segmentar tareas administrativas.
• Restringir el acceso a interfaces de gestión (HTTP(S)/SSH) por listas de control a IPs de administración y/o VPN corporativa; habilitar políticas local-in restrictivas cuando aplique (mejor práctica también recomendada por Fortinet para otras vulnerabilidades recientes).
• Auditar los registros de actividad y reforzar los controles de acceso en dispositivos afectados.
• Implementar autenticación multifactor para cuentas administrativas.
• Mantener monitoreo activo para detectar posibles intentos de explotación.

Referencias

Para mayor información sobre las vulnerabilidades descritas, consultar los siguientes enlaces:

• https://www.fortiguard.com/psirt/FG-IR-24-361
• https://nvd.nist.gov/vuln/detail/CVE-2025-58325
• https://cybersecuritynews.com/fortios-cli-command-bypass-vulnerability/#google_vignette