Fortinet ha confirmado la explotación activa de la vulnerabilidad crítica CVE‑2025‑64446 que afecta al firewall de aplicaciones web FortiWeb. La falla permite a atacantes no autenticados ejecutar operaciones administrativas mediante HTTP(S) requests especialmente elaboradas, provocando un bypass de autenticación. El fabricante publicó el parche en FortiWeb 8.0.2 y la vulnerabilidad fue incorporada al CISA Known Exploited Vulnerabilities (KEV), con prioridad de remediación acelerada.
Cronología y explotación confirmada de CVE‑2025‑64446
Según Defused, los primeros intentos de explotación se observaron el 6 de octubre de 2025. Las campañas iniciales se interpretaron como path traversal orientado a crear cuentas locales con privilegios de administrador en FortiWeb. El artefacto más característico fueron POST al endpoint /api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi, capaces de sortear validaciones de ruta y disparar acciones administrativas sin credenciales.
Si bien se planteó una posible relación con CVE‑2022‑40684, Fortinet asignó a este problema un identificador propio. El 28 de octubre de 2025 se lanzó FortiWeb 8.0.2 sin detalles técnicos públicos, tras lo cual watchTowr Labs divulgó un exploit funcional y una utilidad de análisis forense (Authentication Bypass Artifact Generator). Rapid7 verificó impacto en FortiWeb 8.0.1 y anteriores, y confirmó que los exploits publicados dejan de funcionar tras actualizar a 8.0.2. El 14 de noviembre de 2025, Fortinet describió la falla como una path confusion vulnerability en el GUI y advirtió: «observamos explotación activa en escenarios reales».
Naturaleza técnica: path confusion y vector de ataque
El path confusion ocurre cuando el enrutamiento o la normalización de URLs en una interfaz web interpreta rutas de forma inesperada. Al encadenar segmentos y secuencias especiales, una petición puede “salirse” del contexto previsto y alcanzar controladores sensibles. En FortiWeb, este defecto deriva en un bypass de autenticación, permitiendo que un atacante remoto haga pasar peticiones no autenticadas por operaciones administrativas legítimas.
Por qué es crítico en un WAF perimetral
FortiWeb suele desplegarse en el perímetro protegido, filtrando tráfico hacia aplicaciones críticas. La capacidad de crear cuentas de administrador, modificar políticas y potencialmente insertar backdoors eleva el riesgo a compromisos de alto impacto, incluida la movilidad lateral. La disponibilidad de PoC públicos acelera la ventana de explotación.
Versiones afectadas, parche 8.0.2 y mitigaciones recomendadas
De acuerdo con Rapid7, están afectadas FortiWeb 8.0.1 y versiones anteriores. La actualización a 8.0.2 bloquea los exploits conocidos y es la medida prioritaria de reducción de riesgo. Fortinet señala mitigaciones temporales en su boletín para quienes no puedan actualizar de inmediato; la consulta del aviso oficial es imprescindible para aplicar controles específicos del entorno.
Detección, respuesta y hardening
Para evaluar una posible intrusión, se recomienda revisar los logs en busca de POST sospechosos dirigidos a /api/v2.0/cmdb/…/../../../../../cgi-bin/fwbcgi, auditar la creación/modificación de cuentas administrativas locales y verificar la integridad de la configuración. La herramienta publicada por watchTowr Labs puede agilizar el análisis de artefactos de bypass.
Adicionalmente, limite la exposición del GUI de administración (lista de permitidos por IP, acceso solo por VPN), active MFA donde sea viable, incremente el monitoring y alerting sobre rutas administrativas y realice rotación de credenciales y claves tras actualizar. Considere deshabilitar la gestión desde Internet siempre que sea posible y aplicar segmentación de red.
Con CVE‑2025‑64446 en el catálogo KEV de CISA y la orden federal de remediación antes del 21 de noviembre de 2025, esta vulnerabilidad debe tratarse con máxima urgencia: actualizar a 8.0.2 sin demoras, buscar indicadores de compromiso y reforzar el control de acceso a interfaces de gestión. Adoptar estas acciones hoy reducirá significativamente la superficie de ataque y mejorará la resiliencia operativa de su entorno.
