La nueva vulnerabilidad en Fortinet FortiWeb, identificada como CVE-2025-58034, permite inyección de comandos del sistema operativo. FortiWeb es el firewall de aplicaciones web de Fortinet, ampliamente implementado para proteger las aplicaciones web de diversos ataques.
Esta vulnerabilidad permite a atacantes autenticados ejecutar código no autorizado mediante solicitudes HTTP o comandos CLI manipulados.
La ejecución no autorizada de código en un dispositivo de seguridad puede comprometer gravemente la seguridad de una organización. CVE-2025-58034 es una vulnerabilidad de inyección de comandos del sistema operativo de alta gravedad en Fortinet FortiWeb, que podría permitir a atacantes autenticados ejecutar comandos arbitrarios en el sistema subyacente.
CVE-2025-58034 se clasifica dentro de la vulnerabilidad CWE-78: Neutralización inadecuada de elementos especiales utilizados en un comando del sistema operativo (inyección de comandos del sistema operativo).
La vulnerabilidad afecta a las versiones de FortiWeb 8.0.0 a 8.0.1, 7.6.0 a 7.6.5, 7.4.0 a 7.4.10, 7.2.0 a 7.2.11 y 7.0.0 a 7.0.11.
La falla reside en la forma en que FortiWeb gestiona la entrada en ciertas solicitudes HTTP o comandos de la CLI. Un atacante autenticado puede crear entradas que contengan caracteres especiales o secuencias de comandos que la aplicación no valida correctamente. Al procesarse estas entradas, se pueden ejecutar comandos arbitrarios del sistema operativo con los privilegios del proceso de FortiWeb.
La causa principal es la validación insuficiente de la entrada en los componentes afectados. La explotación requiere una sesión autenticada válida, lo que reduce la superficie de ataque, pero aún representa un riesgo significativo, especialmente en entornos con acceso de varios administradores o integraciones de terceros.
No se han divulgado fragmentos de código ni ubicaciones de código vulnerable. El ataque requiere el conocimiento de credenciales válidas y la capacidad de enviar solicitudes manipuladas a la interfaz de administración o CLI.
Fuente: ZeroPath