Vulnerabilidades críticas en Fortinet 2026
Vulnerabilidad crítica - 28/01
Introducción
CVE-2026-24858 es una vulnerabilidad zero-day que ha estado siendo explotada en el mundo real y afecta a varios productos de seguridad de Fortinet.
Análisis
CVE-2026-24858 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:H/RL:O/RC:C - 9,4
CVE-2026-24858 permite a un atacante con una cuenta de FortiCloud y un dispositivo registrado iniciar sesión en otros dispositivos de Fortinet registrados en otras cuentas si la autenticación FortiCloud SSO está habilitada en esos dispositivos. La vulnerabilidad está siendo explotada activamente. Los atacantes han aprovechado la vulnerabilidad para acceder a dispositivos, crear cuentas de administrador locales, modificar configuraciones y posiblemente exfiltrar datos. La función FortiCloud SSO no está habilitada por defecto en todos los dispositivos, por lo que el riesgo depende de la configuración específica de cada instalación.
Versiones afectadas
- FortiAnalyzer 7.0 versión 7.0.0 a 7.0.15
- FortiAnalyzer 7.2 versión 7.2.0 a 7.2.11
- FortiAnalyzer 7.4 versión 7.4.0 a 7.4.9
- FortiAnalyzer 7.6 versión 7.6.0 a 7.6.5
- FortiManager 7.0 versión 7.0.0 a 7.0.15
- FortiManager 7.2 versión 7.2.0 a 7.2.11
- FortiManager 7.4 versión 7.4.0 a 7.4.9
- FortiManager 7.6 versión 7.6.0 a 7.6.5
- FortiOS 7.0 versión 7.0.0 a 7.0.18
- FortiOS 7.2 versión 7.2.0 a 7.2.12
- FortiOS 7.4 versión 7.4.0 a 7.4.10
- FortiOS 7.6 versión 7.6.0 a 7.6.5
- FortiProxy 7.0 todas las versiones
- FortiProxy 7.2 todas las versiones
- FortiProxy 7.4 versión 7.4.0 a 7.4.12
- FortiProxy 7.6 versión 7.6.0 a 7.6.4
Recomendaciones
Actualizar los dispositivos afectados.
Workarounds
La autenticación SSO de FortiCloud ya no admite el inicio de sesión desde dispositivos que ejecutan versiones vulnerables, por lo que no es necesario deshabilitar el inicio de sesión SSO de FortiCloud en el cliente.
Referencias
- https://fortiguard.fortinet.com/psirt/FG-IR-26-060
- https://www.cisa.gov/news-events/alerts/2026/01/27/cisa-adds-one-known-exploited-vulnerability-catalog
- https://www.hkcert.org/security-bulletin/fortinet-products-security-restriction-bypass-vulnerability_20260128
- https://thehackernews.com/2026/01/fortinet-patches-cve-2026-24858-after.html
Vulnerabilidad crítica - 10/02
Introducción
CVE-2026-21643 es una vulnerabilidad de inyección SQL (SQLi) que se encuentra en la funcionalidad de FortiClientEMS 7.4.4. La falla se debe a una neutralización inadecuada de elementos especiales en comandos SQL, lo que permite que un atacante remoto inyecte código malicioso a través de solicitudes HTTP específicamente diseñadas. La vulnerabilidad se explota al enviar solicitudes HTTP especialmente construidas a interfaces web o API que procesan entradas sin validación. Debido a la falta de neutralización de caracteres especiales, la entrada inyectada modifica la intención original de la consulta SQL y puede transformarse en una instrucción dañina o en ejecución de código en el servidor.
Análisis
CVE-2026-21643 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9,8
La explotación se basa en enviar solicitudes HTTP maliciosas al componente web del FortiClientEMS que no valida correctamente los parámetros antes de incorporarlos a consultas SQL. Esto permite inyectar sentencias SQL que pueden ser encadenadas para acceder o modificar datos en la base de datos, ejecutar código en el servidor y comprometer el sistema. El mecanismo técnico probable de explotación incluye la inyección de metacaracteres SQL que alteran la estructura de consultas compuestas con cadenas de entrada, el encadenamiento de técnicas de SQLi a ejecución de comandos del sistema operativo y la manipulación de parámetros en API web o formularios no validados, aprovechando la interfaz del servidor administrativo.
Recomendaciones
Actualizar a la versión 7.4.5 o superior. Las versiones 8.0 y 7.2 no están afectadas.
Workarounds
No hay workarounds para esta vulnerabilidad.