Plataforma
fortinet
Corregido en
7.6.2
7.2.6
7.6.1
7.4.7
El CVE-2025-22252 describe una vulnerabilidad de bypass de autenticación crítica en varios productos Fortinet. Esta falla permite a un atacante con conocimiento de una cuenta de administrador existente acceder al dispositivo como un administrador válido, eludiendo los mecanismos de seguridad estándar. La vulnerabilidad afecta a Fortinet FortiProxy versiones 7.6.0 a 7.6.1, FortiSwitchManager versión 7.2.5 y FortiOS versiones 7.4.4 a 7.4.6 y 7.6.0. Se recomienda aplicar las actualizaciones de seguridad proporcionadas por Fortinet para mitigar este riesgo.
La explotación exitosa de este bypass de autenticación permite a un atacante obtener acceso administrativo completo al dispositivo Fortinet afectado. Esto significa que el atacante puede modificar la configuración del dispositivo, acceder a datos confidenciales, instalar malware, o incluso utilizar el dispositivo como punto de apoyo para atacar otros sistemas en la red. El impacto potencial es significativo, ya que un atacante podría comprometer la seguridad de toda la infraestructura de red protegida por el dispositivo Fortinet. La naturaleza crítica de la vulnerabilidad se agrava por el hecho de que no requiere autenticación, lo que facilita su explotación. Un atacante con acceso a una cuenta de administrador válida, incluso con privilegios limitados, puede escalar sus privilegios y obtener control total del dispositivo.
El CVE-2025-22252 fue publicado el 28 de mayo de 2025. La vulnerabilidad se considera de alta probabilidad de explotación debido a su criticidad y la relativa facilidad con la que puede ser explotada. No se ha confirmado la explotación activa en entornos reales, pero la disponibilidad de información sobre la vulnerabilidad aumenta el riesgo de que sea explotada en el futuro. Se recomienda monitorear los sistemas afectados para detectar cualquier actividad sospechosa. La inclusión de esta vulnerabilidad en el KEV (Known Exploited Vulnerabilities) de CISA es probable, dada su criticidad.
Organizations heavily reliant on Fortinet FortiProxy for web filtering, VPN termination, and secure web gateways are particularly at risk. Shared hosting environments where multiple customers share the same FortiProxy instance are also vulnerable, as a compromise of one customer's account could potentially lead to broader access. Legacy deployments using older, unpatched FortiOS versions are especially susceptible.
• fortinet: Check FortiOS/FortiProxy versions.
Get-FortiProxy | Select-Object Version• fortinet: Monitor FortiProxy logs for unusual login attempts or configuration changes.
Get-FortiProxyLog -Type Authentication -StartDate (Get-Date).AddDays(-7) | Where-Object {$_.Status -ne "Success"}• fortinet: Review firewall rules for unexpected access patterns.
Get-FortiFirewallPolicy | Where-Object {$_.Action -eq "ACCEPT" -and $_.Destination -match "untrusted_network"}• generic web: Check for exposed admin interfaces via curl.
curl -I https://<fortiproxy_ip>/admindisclosure
patch
Estado del Exploit
EPSS
0.09% (25% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para el CVE-2025-22252 es actualizar los dispositivos afectados a las versiones corregidas proporcionadas por Fortinet. Si la actualización no es inmediatamente posible, se recomienda implementar reglas de firewall o WAF (Web Application Firewall) para restringir el acceso a la función vulnerable. Además, se debe revisar la configuración de los dispositivos para asegurar que las cuentas de administrador tengan contraseñas seguras y que se apliquen políticas de acceso basadas en el principio de mínimo privilegio. Como medida temporal, se puede considerar la segmentación de la red para limitar el impacto de una posible explotación. Después de la actualización, verificar la correcta implementación revisando los logs del sistema y confirmando que la función vulnerable ya no es accesible sin autenticación.
Actualice FortiProxy a una versión posterior a 7.6.1, FortiSwitchManager a una versión posterior a 7.2.5, y FortiOS a una versión posterior a 7.4.6 y 7.6.0 para corregir la vulnerabilidad de omisión de autenticación. Esto evitará que un atacante con conocimiento de una cuenta de administrador existente acceda al dispositivo como un administrador válido.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-22252 is a critical authentication bypass vulnerability in Fortinet FortiProxy, FortiSwitchManager, and FortiOS, allowing attackers with admin account knowledge to gain unauthorized access.
If you are using FortiProxy versions 7.6.0-7.6.1, FortiSwitchManager 7.2.5, or FortiOS versions 7.4.4-7.4.6 and 7.6.0, you are potentially affected by this vulnerability.
Upgrade to a patched version of FortiProxy, FortiSwitchManager, or FortiOS as recommended by Fortinet. Implement temporary workarounds if patching is delayed.
CVE-2025-22252 is listed on CISA's KEV catalog, suggesting a high probability of active exploitation. Public PoCs are likely to emerge.
Refer to the official Fortinet security advisory for detailed information, mitigation guidance, and patched versions: [https://fortinet.com/security/advisory/fortinet-psirt-25-22](https://fortinet.com/security/advisory/fortinet-psirt-25-22)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.