Vulnerabilidad crítica en FortiAnalyzer y FortiADC permite ejecución de comandos no autorizados

Fortinet publicó una actualización de seguridad para corregir una vulnerabilidad crítica de tipo inyección de comandos en el sistema operativo (OS Command Injection) que afecta a múltiples versiones de sus productos FortiAnalyzer y FortiADC. La falla identificada como CVE-2025-31104 podría permitir a un atacante autenticado ejecutar comandos arbitrarios mediante solicitudes HTTP manipuladas.

Este problema representa un riesgo significativo para la confidencialidad, integridad y disponibilidad de los sistemas, especialmente en entornos donde estas soluciones forman parte de la infraestructura de gestión o balanceo de tráfico.

Vulnerabilidad identificada:

• CVE-2025-31104 (CVSS: 7.2):
  Falla de tipo inyección de comandos en el sistema operativo causada por la neutralización incorrecta de elementos especiales (CWE-78). Permite a un atacante autenticado ejecutar código no autorizado a través de solicitudes HTTP maliciosas.

Producto, versiones afectadas y solución:

Producto	Versiones afectadas	Solución recomendada
FortiADC	7.6.0 – 7.6.1 7.4.0 – 7.4.6 7.2.0 – 7.2.7 7.1.0 – 7.1.4 7.0.x 6.2.x 6.1.x	Actualizar a la versión 7.6.2 o superior Actualizar a la versión 7.4.7 o superior Actualizar a la versión 7.2.8 o superior Actualizar a la versión 7.1.5 o superior Actualizar a a una versión soportada no vulnerable
FortiAnalyzer	7.4.0 7.2.0 – 7.2.3 7.0.0 – 7.0.8 6.4.0 – 6.4.12 6.2.0 – 6.2.11	Actualizar a la versión 7.4.1 o superior Actualizar a la versión 7.2.4 o superior Actualizar a la versión 7.0.9 o superior Actualizar a la versión 6.4.13 o superior Actualizar a la versión 6.2.12 o superior

Recomendaciones:

• Aplicar inmediatamente las actualizaciones de seguridad provistas por Fortinet.
• Restringir temporalmente el acceso a interfaces de administración desde redes externas no autorizadas.
• Auditar los registros de actividad y reforzar los controles de acceso en dispositivos afectados.
• Implementar autenticación multifactor para cuentas administrativas.
• Mantener monitoreo activo para detectar posibles intentos de explotación.

Referencias:

• https://csirt.gob.cl/alertas/avc25-00020/
• https://ciberseguridad.euskadi.eus/noticia/2025/vulnerabilidades-en-fortiadc-fortianalyzer-y-fortimanager/webcyb00-contcibglos/es/
• https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/cve-2025-31104