Bypass de autenticación SAML en FortiOS permite acceso administrativo sin credenciales (CVE-2025-59718 / CVE-2025-59719)

Descripcion de la vulnerabilidad

CVE-2025-59718 y CVE-2025-59719 son dos vulnerabilidades criticas que comparten la misma causa raiz: una verificacion inadecuada de firma criptografica (CWE-347) en el mecanismo de autenticacion SAML de FortiCloud SSO. Un atacante remoto sin autenticacion puede enviar un mensaje SAML especialmente manipulado para evadir completamente la autenticacion y obtener acceso administrativo al dispositivo.

CVE-2025-59718 afecta a FortiOS, FortiProxy y FortiSwitchManager, mientras que CVE-2025-59719 impacta especificamente a FortiWeb. Ambas fueron publicadas por Fortinet el 9 de diciembre de 2025 bajo el advisory FG-IR-25-647.

La firma de seguridad Rapid7 detecto los primeros intentos de explotacion el 17 de diciembre de 2025, apenas 8 dias despues de la publicacion del parche. Para el 16 de enero de 2026, multiples actores de amenaza estaban explotando activamente ambas vulnerabilidades contra equipos FortiGate con la interfaz de administracion expuesta a internet.

Productos y versiones afectadas

• FortiOS: 7.6.0 a 7.6.3 | 7.4.0 a 7.4.8 | 7.2.0 a 7.2.11 | 7.0.0 a 7.0.17
• FortiProxy: 7.6.0 a 7.6.3 | 7.4.0 a 7.4.10 | 7.2.0 a 7.2.14 | 7.0.0 a 7.0.21
• FortiWeb: 8.0.0 | 7.6.0 a 7.6.4 | 7.4.0 a 7.4.9
• FortiSwitchManager: 7.2.0 a 7.2.6 | 7.0.0 a 7.0.5
• FortiOS 6.4: No afectado

Impacto

La explotacion exitosa permite al atacante:

• Obtener acceso administrativo completo al FortiGate sin necesidad de credenciales
• No se requiere interaccion del usuario ni condiciones previas especiales
• El ataque puede ejecutarse de forma remota contra cualquier equipo con FortiCloud SSO habilitado y la interfaz de gestion accesible desde internet

Es importante destacar que la funcionalidad FortiCloud SSO no viene habilitada de fabrica, pero se activa automaticamente cuando el administrador registra el dispositivo en FortiCare a traves de la interfaz web, a menos que se desactive manualmente durante el proceso.

Solucion recomendada

Actualizar a las siguientes versiones o superiores:

• FortiOS: 7.6.4, 7.4.9, 7.2.12 o 7.0.18
• FortiProxy: 7.6.4, 7.4.11, 7.2.15 o 7.0.22
• FortiWeb: 8.0.1, 7.6.5 o 7.4.10
• FortiSwitchManager: 7.2.7 o 7.0.6

Mitigacion temporal:

• Deshabilitar FortiCloud SSO: en la GUI, ir a System → Settings y desactivar "Allow administrative login using FortiCloud SSO"
• Alternativamente, por CLI: config system global → set admin-forticloud-sso-login disable → end
• Verificar que la interfaz de administracion no este expuesta directamente a internet
• Revisar logs en busca de accesos administrativos sospechosos

Atencion: Si su organizacion ya aplico estos parches pero no actualizo a las versiones que tambien corrigen CVE-2026-24858 (ver Alerta 1), sigue siendo vulnerable a la variante mas reciente del ataque.

Referencias

• Fortinet PSIRT Advisory FG-IR-25-647
• Rapid7 - CVE-2025-59718 & CVE-2025-59719 Exploited in the Wild
• Canadian Centre for Cyber Security - AL25-019