Fortinet, Ivanti y SAP han tomado medidas para abordar fallas de seguridad críticas en sus productos que, de explotarse con éxito, podrían resultar en la elusión de la autenticación y la ejecución de código.

Vulnerabilidad crítica en Fortinet

Las vulnerabilidades de Fortinet afectan a FortiOS, FortiWeb, FortiProxy y FortiSwitchManager y están relacionadas con un caso de verificación incorrecta de una firma criptográfica. Se identifican como CVE-2025-59718 y CVE-2025-59719 (CVSS: 9.8).

"Una vulnerabilidad de verificación incorrecta de la firma criptográfica [CWE-347] en FortiOS, FortiWeb, FortiProxy y FortiSwitchManager podría permitir que un atacante no autenticado eluda la autenticación de inicio de sesión SSO de FortiCloud mediante un mensaje SAML manipulado, si dicha función está habilitada en el dispositivo", declaró Fortinet en un aviso.

Sin embargo, la compañía señaló que la función de inicio de sesión SSO de FortiCloud no está habilitada en la configuración predeterminada de fábrica. El inicio de sesión SSO de FortiCloud se habilita cuando un administrador registra el dispositivo en FortiCare y no ha desactivado la opción "Permitir inicio de sesión administrativo con FortiCloud SSO" en la página de registro.

Para proteger temporalmente sus sistemas contra ataques que explotan estas vulnerabilidades, se recomienda a las organizaciones desactivar la función de inicio de sesión de FortiCloud (si está activada) hasta que se actualice. 

Ivanti publica corrección para falla crítica de EPM

Ivanti también ha publicado actualizaciones para abordar cuatro fallas de seguridad en Endpoint Manager (EPM), una de las cuales es un error de gravedad crítica en el núcleo de EPM y las consolas remotas. La vulnerabilidad, con el identificador CVE-2025-10573, tiene una puntuación CVSS de 9.6.

"Los XSS almacenados en Ivanti Endpoint Manager anteriores a la versión 2024 SU4 SR1 permiten que un atacante remoto no autenticado ejecute JavaScript arbitrario en el contexto de una sesión de administrador", afirmó Ivanti.

Ryan Emmons, investigador de seguridad de Rapid7, quien descubrió e informó sobre la vulnerabilidad el 15 de agosto de 2025, explicó que esta permite que un atacante con acceso no autenticado al servicio web principal de EPM conecte endpoints administrados falsos al servidor de EPM para envenenar el panel web del administrador con JavaScript malicioso.

"Cuando un administrador de Ivanti EPM accede a una de las interfaces del panel envenenadas durante el uso normal, esa interacción pasiva del usuario activa la ejecución de JavaScript del lado del cliente, lo que permite al atacante obtener el control de la sesión del administrador", explicó Emmons.

Douglas McKee, director de inteligencia de vulnerabilidades de Rapid7, declaró que la vulnerabilidad CVE-2025-10573 representa un riesgo grave, ya que su explotación es sencilla y se puede realizar enviando un informe de dispositivo falso al servidor mediante un formato de archivo básico.

"Si bien el ataque solo se ejecuta completamente cuando un administrador accede al panel de control, esta es una tarea rutinaria y necesaria para el personal de TI; por lo tanto, la probabilidad de que se active el exploit durante las operaciones normales es alta, lo que finalmente permite al atacante tomar el control de la sesión del administrador", añadió McKee.

Ensar Seker, CISO de la empresa de inteligencia de amenazas SOCRadar, también enfatizó que el requisito de interacción del usuario no reduce el nivel de amenaza de la vulnerabilidad y que tiene un potencial de explotación significativo cuando se combina con ingeniería social.

"La ejecución remota de código mediante inyección de JavaScript ya no es teórica en los ataques a la cadena de suministro; se ha vuelto operativamente viable", afirmó Seker. "Las organizaciones deben actuar con rapidez para aplicar parches y, lo que es más importante, implementar una rigurosa limpieza de la interfaz de usuario y segmentación de privilegios".

La compañía indicó que se requiere la interacción del usuario para explotar la falla y que no tiene constancia de ningún ataque activo. Esta vulnerabilidad se ha parcheado en la versión 2024 SU4 SR1 de EPM.

También se han parcheado en la misma versión otras tres vulnerabilidades de alta gravedad (CVE-2025-13659, CVE-2025-13661 y CVE-2025-13662) que podrían permitir que un atacante remoto no autenticado ejecute código arbitrario. CVE-2025-13662, al igual que CVE-2025-59718 y CVE-2025-59719, se debe a una verificación incorrecta de las firmas criptográficas en el componente de gestión de parches.

SAP corrige tres fallas críticas

Por último, SAP ha publicado actualizaciones de seguridad en diciembre para abordar 14 vulnerabilidades en varios productos, incluyendo tres fallas de gravedad crítica. Se enumeran a continuación:

• CVE-2025-42880 (CVSS: 9,9): Vulnerabilidad de inyección de código en SAP Solution Manager
• CVE-2025-55754 (CVSS: 9,6): Múltiples vulnerabilidades en Apache Tomcat dentro de SAP Commerce Cloud
• CVE-2025-42928 (CVSS: 9,1): Vulnerabilidad de deserialización en SAP jConnect SDK para Sybase Adaptive Server Enterprise (ASE)

La plataforma de seguridad de SAP, Onapsis, con sede en Boston, ha sido responsable de informar sobre las vulnerabilidades CVE-2025-42880 y CVE-2025-42928. La compañía afirmó haber identificado un módulo de función remota en SAP Solution Manager que permite a un atacante autenticado inyectar código arbitrario.

"Dado el papel fundamental de SAP Solution Manager en el entorno de sistemas SAP, recomendamos encarecidamente la aplicación oportuna de un parche", declaró Thomas Fritsch, investigador de seguridad de Onapsis.

Por otro lado, CVE-2025-42928 permite la ejecución remota de código al proporcionar una entrada especialmente diseñada al componente SAP jConnect SDK. Sin embargo, una explotación exitosa requiere privilegios elevados.

Dado que las vulnerabilidades de seguridad en el software de Fortinet, Ivanti y SAP son frecuentemente explotadas por actores maliciosos, es fundamental que los usuarios actúen con rapidez para aplicar las correcciones.

Fuente: THN