Fortinet publicó un amplio aviso de seguridad el 10 de marzo de 2026, abordando once vulnerabilidades en sus productos empresariales principales, incluyendo FortiManager, FortiAnalyzer, FortiSwitchAXFixed y FortiSandbox. Los fallos van desde bypass de autenticación y desbordamientos de búfer hasta inyección de comandos del sistema operativo e inyección SQL, varios de los cuales podrían permitir a atacantes remotos ejecutar comandos arbitrarios o escalar privilegios.

 

Fortinet publicó un amplio aviso de seguridad el 10 de marzo de 2026, abordando once vulnerabilidades en sus productos empresariales principales, incluyendo FortiManager, FortiAnalyzer, FortiSwitchAXFixed y FortiSandbox. Las fallas van desde bypass de autenticación y desbordamientos de búfer hasta inyección de comandos del sistema operativo e inyección SQL, varias de las cuales podrían permitir a atacantes remotos ejecutar comandos arbitrarios o escalar privilegios en sistemas afectados.

Vulnerabilidades de alta gravedad parcheadas

Dos vulnerabilidades recibieron una calificación de Alta gravedad y representan el riesgo más significativo para entornos sin parchear. CVE-2026-22627 (FG-IR-26-086) describe un Desbordamiento de búfer clásico (CWE-120) en el campo LLDP OUI de FortiSwitchAXFixed versiones 1.0.0 y 1.0.1. Las vulnerabilidades de desbordamiento de búfer de este tipo permiten a los atacantes sobrescribir memoria adyacente, lo que potencialmente habilita la ejecución de código arbitrario en el dispositivo afectado. CVE-2025-54820 (FG-IR-26-098) identifica un Desbordamiento de búfer basado en pila (CWE-121) en el servicio fgtupdates de FortiManager. Las versiones afectadas incluyen FortiManager 7.4.0 a 7.4.2 y 7.2.9 a 7.2.10. Un atacante que explote esta falla podría potencialmente desencadenar la ejecución remota de código a través de una solicitud de actualización manipulada, lo que la convierte en una preocupación crítica para organizaciones que ejecutan infraestructura de gestión de red centralizada.

Vulnerabilidades de bypass de autenticación y MFA

Tres vulnerabilidades separadas atacan los mecanismos de autenticación en FortiManager y FortiAnalyzer, creando colectivamente riesgos significativos de control de acceso. CVE-2026-22629 (FG-IR-26-079) es una restricción inadecuada de intentos de autenticación excesivos (CWE-307) que introduce un bypass de bloqueo de autenticación a través de una condición de carrera. Esto afecta a FortiAnalyzer versiones 7.6.0–7.6.4, FortiAnalyzer Cloud, FortiManager 7.6.0–7.6.4 y FortiManager Cloud. Al explotar la ventana de tiempo en el mecanismo de bloqueo, un atacante podría forzar credenciales sin activar bloqueos de cuenta. CVE-2026-22572 (FG-IR-26-090) representa un bypass de autenticación más grave utilizando una ruta o canal alternativo (CWE-288) en la GUI de FortiAnalyzer y FortiManager versiones 7.6.0–7.6.3, junto con las versiones correspondientes en la nube. Esta falla permite efectivamente a un atacante eludir por completo la autenticación multifactor (MFA), lo que debilita significativamente una de las capas defensivas más críticas para el acceso administrativo. CVE-2025-68482 (FG-IR-26-078) implica una validación inadecuada de certificados TLS (CWE-295) durante la autenticación inicial SSO en la GUI de FortiManager, afectando a FortiAnalyzer y FortiManager 7.6.0–7.6.4. Un atacante remoto podría interceptar o manipular el proceso de autenticación a través de un ataque de intermediario (man-in-the-middle).

Inyección de comandos y escalada de privilegios

CVE-2026-25836 (FG-IR-26-096) es una vulnerabilidad de Inyección de comandos del sistema operativo (CWE-78) en la función de actualización vmimages de FortiSandbox Cloud 5.0.4. La explotación exitosa podría permitir a un atacante autenticado ejecutar comandos arbitrarios del sistema operativo a través de la GUI, lo que llevaría a un compromiso total del sistema. CVE-2025-48418 (FG-IR-26-081) expone una función CLI no documentada (CWE-1242) en FortiManager y FortiAnalyzer, afectando versiones 7.6.0–7.6.3 y plataformas en la nube asociadas. Un atacante remoto con acceso existente podría explotar este comando oculto para escalar privilegios más allá de su nivel autorizado. CVE-2026-22628 (FG-IR-26-085) describe una falla de Control de acceso inadecuado (CWE-284) en FortiSwitchAXFixed 1.0.0 y 1.0.1, permitiendo a un usuario administrador autenticado eludir restricciones de comandos de shell a través de anulaciones de configuración local SSH. El aviso también cubre varios otros problemas de gravedad media. CVE-2025-68648 (FG-IR-26-092) es una vulnerabilidad de cadena de formato (CWE-134) en el componente fazsvcd de FortiAnalyzer y FortiManager, expuesta a través de la API. CVE-2025-49784 (FG-IR-26-095) es una falla de Inyección SQL (CWE-89) en la API JSON-RPC de FortiAnalyzer, afectando versiones 7.6.0–7.6.4 y FortiAnalyzer-BigData. Finalmente, CVE-2025-53608 (FG-IR-26-091) es una vulnerabilidad de Cross-Site Scripting (XSS) almacenado (CWE-79) en la opción de servidor LDAP de FortiSandbox versiones 4.4.6–5.0.2.

Acciones recomendadas

Las organizaciones que utilizan productos Fortinet afectados deben priorizar los siguientes pasos:

• Aplicar los parches publicados por Fortinet inmediatamente, particularmente para las dos vulnerabilidades de desbordamiento de búfer de alta gravedad
• Auditar el acceso administrativo y revisar las configuraciones de MFA en implementaciones de FortiManager y FortiAnalyzer
• Restringir el acceso CLI y SSH solo a cuentas de administrador de confianza
• Monitorear patrones de autenticación inusuales o actividad de escalada de privilegios en los registros
• Revisar entornos de FortiSandbox Cloud en busca de signos de intentos de inyección de comandos

Fuentes:
https://cybersecuritynews.com/fortinet-security-update-march/