CVE-2025-24472
CVE-2025-24472
Vexday Risk Score
51Atención
Decisión SSVC (CISA)
Act
Explotación + impacto → acción inmediata
CVSS 8.1EPSS 3.0%KEV simPoC —Nuclei —Metasploit —Patch —
Ciclo de vida
11 feb 2025Publicada en NVD
18 mar 2025Explotación activa (CISA KEV)
Recomendación: Corregir cuanto antes — hay explotación activa confirmada.
En resumen
Un atacante que conoce los números de serie de los dispositivos puede eludir la autenticación en FortiOS y FortiProxy cuando Security Fabric está habilitado, obteniendo acceso administrativo completo sin iniciar sesión.
Detalle técnico
Omisión de autenticación (CWE-288) en FortiOS 7.0.0–7.0.16 y FortiProxy 7.2.0–7.2.12, 7.0.0–7.0.19 permite que atacantes remotos no autenticados escalen privilegios a super-admin mediante solicitudes CSF proxy manipuladas cuando Security Fabric está activado; requiere conocimiento previo de los números de serie de los dispositivos upstream y downstream.
Resumen generado y traducido por IA a partir de la descripción oficial.
An Authentication Bypass Using an Alternate Path or Channel vulnerability [CWE-288] affecting FortiOS 7.0.0 through 7.0.16 and FortiProxy 7.2.0 through 7.2.12, 7.0.0 through 7.0.19 may allow a remote unauthenticated attacker with prior knowledge of upstream and downstream devices serial numbers to gain super-admin privileges on the downstream device, if the Security Fabric is enabled, via crafted CSF proxy requests.
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/E:H/RL:X/RC:C
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →