Plataforma
fortinet
Componente
fortios
Corregido en
7.6.2
7.4.7
7.2.11
7.0.17
6.4.16
7.6.2
7.4.8
7.6.2
7.4.7
La vulnerabilidad CVE-2025-22254 afecta a FortiOS, FortiProxy y FortiWeb, permitiendo a un atacante autenticado con permisos de solo lectura escalar sus privilegios a superadministrador. Esta gestión inadecuada de privilegios (CWE-269) reside en el módulo Node.js websocket. Las versiones afectadas incluyen FortiOS 6.4.0 a 7.6.1, FortiProxy 7.4.0 a 7.6.1 y FortiWeb 7.4.0 a 7.6.1. Se recomienda aplicar las actualizaciones de seguridad proporcionadas por Fortinet.
Un atacante que explote esta vulnerabilidad podría obtener control total sobre el dispositivo Fortinet afectado. Esto incluye la capacidad de modificar la configuración, acceder a datos confidenciales, instalar malware y realizar ataques a otros sistemas dentro de la red. La escalada de privilegios permite al atacante eludir los controles de seguridad y comprometer la integridad y confidencialidad de los datos. La vulnerabilidad se encuentra en el módulo Node.js websocket, lo que podría permitir la ejecución remota de código si el atacante puede manipular las solicitudes WebSocket.
La vulnerabilidad CVE-2025-22254 fue publicada el 10 de junio de 2025. No se ha confirmado la explotación activa en entornos reales, pero la facilidad de explotación y el impacto potencial sugieren que podría ser un objetivo atractivo para los atacantes. Se recomienda monitorear de cerca los sistemas afectados y aplicar las actualizaciones de seguridad lo antes posible. La vulnerabilidad se basa en una gestión inadecuada de privilegios, un patrón de ataque común que ha sido explotado en el pasado.
Organizations heavily reliant on Fortinet FortiOS, FortiProxy, or FortiWeb appliances are at risk. Specifically, deployments utilizing read-only administrator accounts for monitoring or limited access, and those running vulnerable versions (6.4.0-7.6.1 for FortiOS, 7.4.0-7.6.1 for FortiProxy, and 7.4.0-7.6.1 for FortiWeb) are particularly vulnerable. Shared hosting environments using these appliances also face increased risk.
• fortinet: Examine FortiOS system logs for unusual websocket requests or attempts to modify system configurations by read-only administrators.
Get-WinEvent -LogName Security -FilterXPath '//Event[System[Provider[@Name='Fortinet FortiOS']]]'• linux / server: Monitor Fortinet device logs using journalctl for suspicious activity related to the Node.js websocket module.
journalctl -u fortinet -f | grep "websocket"• generic web: Use curl to test the websocket endpoint and observe the response for any unexpected behavior.
curl -v wss://<fortigate_ip>/node.js/websocketdisclosure
Estado del Exploit
EPSS
0.06% (19% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a una versión de FortiOS, FortiProxy o FortiWeb que haya sido parcheada para corregir esta vulnerabilidad. Fortinet ha publicado actualizaciones de seguridad para abordar este problema. Si la actualización inmediata no es posible, considere implementar medidas de seguridad adicionales, como restringir el acceso a la interfaz de administración y monitorear los registros del sistema en busca de actividad sospechosa. Revise las configuraciones de permisos para asegurar que los usuarios solo tengan los privilegios necesarios para realizar sus tareas. Implementar reglas de firewall para limitar el acceso al módulo Node.js websocket puede reducir la superficie de ataque.
Actualice FortiOS a una versión corregida que no esté dentro de los rangos de versiones afectadas. Consulte el advisory de Fortinet para obtener más detalles sobre las versiones corregidas y las instrucciones de actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-22254 is a vulnerability in FortiOS, FortiProxy, and FortiWeb that allows authenticated read-only admins to gain super-admin privileges via crafted websocket requests.
You are affected if you are running FortiOS 6.4.0-7.6.1, FortiProxy 7.4.0-7.6.1, or FortiWeb 7.4.0-7.6.1.
Upgrade to a patched version of FortiOS, FortiProxy, or FortiWeb as recommended by Fortinet. Check their security advisories for specific version details.
As of June 10, 2025, no public exploits have been released, but the vulnerability's ease of exploitation means active exploitation is possible.
Refer to the official Fortinet security advisory on their website for detailed information and mitigation steps: [https://www.fortinet.com/security/advisory/fortinet-security-advisory/CVE-2025-22254](https://www.fortinet.com/security/advisory/fortinet-security-advisory/CVE-2025-22254)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.