Author: Seguridad CSIRT-CV

S’han identificat múltiples vulnerabilitats crítiques en productes de Fortinet, incloses fallades d’execució remota de codi (RCE) i fallades d’autenticació/bypass de seguretat, algunes de les quals ja han sigut explotades en sistemes reals. Estes vulnerabilitats afecten una àmplia gamma de dispositius de seguretat i comunicacions, com FortiOS, FortiProxy, FortiVoice, FortiMail, FortiNDR, FortiRecorder i FortiCamera, i poden permetre des de l’execució arbitrària de codi fins a l’accés com a administrador sense credencials vàlides. L’impacte potencial va des de la pèrdua de confidencialitat i integritat fins al compromís total de dispositius de xarxa si s’exploten amb èxit.

Anàlisi 

Destaquen 2 vulnerabilitats crítiques:

CVE-2025-32756: Stack-Based Buffer Overflow – Execució remota de codi

Una vulnerabilitat de desbordament de memòria intermèdia basada en pila que afecta múltiples productes de Fortinet, inclosos FortiVoice, FortiMail, FortiNDR, FortiRecorder i FortiCamera. Un atacant remot podria enviar sol·licituds HTTP especialment construïdes que desencadenen un desbordament de pila, la qual cosa permetria l’execució arbitrària de codi o ordes en els dispositius vulnerables sense autenticació. Esta vulnerabilitat ha sigut documentada amb un CVSS v3.1 de 9.8, i s’ha confirmat la seua explotació, particularment en dispositius FortiVoice.

CVE-2025-22252: Bypass d’autenticació en FortiOS/FortiProxy/TACACS+

Una vulnerabilitat de falta d’autenticació per a una funció crítica en FortiOS, FortiProxy i FortiSwitchManager (quan usen autenticació TACACS+ amb servidor remot configurat amb autenticació ASCII) pot permetre que un atacant amb coneixement d’un compte d’administrador existent accedisca al dispositiu com a administrador vàlid sense passar pel procés d’autenticació normal. Este tipus de bypass combinat amb la possibilitat d’execució d’ordes col·loca a esta vulnerabilitat en la categoria d’accés no autoritzat amb elevació de privilegis.

Recomanacions:

Els productes i versions afectats són:

• • FortiVoice (diverses versions fins a 7.2.0, 7.0.x i 6.4.x)

  • FortiMail (diverses branques de 7.x)

  • FortiNDR (totes les versions llistades)

  • FortiRecorder (versions 6.4.x, 7.0.x, 7.2.x)

  • FortiCamera (sèries 1.1.x, 2.0.x i 2.1.x)

  • FortiOS (7.4.x, 7.6.x)

  • FortiProxy (7.6.x, 7.4.x)

• • FortiSwitchManager (7.2.x)

Es recomana aplicar immediatament les actualitzacions de microprogramari i pedaços disponibles per a tots els dispositius de Fortinet afectats.

Referències: 

• • https://www.incibe.es/incibe-cert/alerta-temprana/avisos/multiples-vulnerabilidades-en-productos-de-fortinet-0

Introducció

Adobe ha publicat un butlletí de seguretat que aborda una vulnerabilitat crítica en les dependències del producte que podria permetre l’execució arbitrària de codi. Les versions afectades de ColdFusion inclouen ColdFusion 2025 (Update 5 i anteriors) i ColdFusion 2023 (Update 17 i anteriors) en totes les plataformes. 

Anàlisi 

CVE-2025-66516: Apache Tika XML External Entity (XXE) / Execució arbitrària de codi

L’actualització de ColdFusion inclou un pedaç per a la vulnerabilitat CVE-2025-66516, una fallada crítica a la biblioteca Apache Tika que s’usa com a dependència dins de ColdFusion. Esta fallada permet la injecció d’entitats externes XML (XXE) que podria explotar-se en processar contingut específicament elaborat, que conduiria a l’execució arbitrària de codi amb les mateixes credencials o context que el procés de ColdFusion. Atés que este component s’invoca internament en manejar uns certs formats d’arxiu (per exemple, XFA dins de PDF), un atacant capaç de subministrar dades malicioses podria aconseguir execució de codi no autoritzat en el servidor afectat.

Recomanacions:

Actualitzar immediatament a les versions corregides de ColdFusion (2025 Update 6 o 2023 Update 18)

Referències: 

• • https://helpx.adobe.com/security/products/coldfusion/apsb26-12.html

Introducció

Microsoft ha corregit 114 vulnerabilitats en el seu butlletí de seguretat de gener de 2026, incloses 3 vulnerabilitats zero-day, una de les quals està sent explotada activament. Estes vulnerabilitats inclouen des de divulgació d’informació sensible i elevació de privilegis fins a bypass de característiques de seguretat i errors que podrien permetre l’execució de codi remota. Les fallades afecten múltiples components de Windows i programari associat, i diverses categories de risc estan representades, amb una gran proporció de vulnerabilitats d’elevació de privilegis i execució remota de codi.

Anàlisi 

Destaquen les 3 vulnerabilitats zero-day:

CVE-2026-20805: Desktop Window Manager Information Disclosure Vulnerability

Una vulnerabilitat de divulgació d’informació en el Desktop Window Manager (DWM), activament explotada. Un atacant amb accés autoritzat local podria aprofitar esta fallada per a llegir adreces de memòria del procés associat al port ALPC remot, la qual cosa pot revelar informació interna útil per a posteriors vectors d’atac.

CVE-2026-21265: Secure Boot Certificate Expiration Security Feature Bypass Vulnerability

Esta vulnerabilitat ha sigut públicament divulgada, i està relacionada amb la caducitat d’uns certs certificats d’arrancada segura (Secure Boot). Els certificats emesos en 2011 eren pròxims a la seua data d’expiració, la qual cosa podria permetre a un atacant eludir les proteccions de Secure Boot en sistemes no actualitzats. El pedaç renova estos certificats per a restaurar la cadena de confiança i mantindre la verificació de components d’arrancada.

CVE-2023-31096: Windows Agere Soft Modem Driver Elevation of Privilege Vulnerability

Esta vulnerabilitat afecta el controlador de tercers Agere Soft Modem. Explotacions prèvies permetien l’escalada de privilegis administratius (SYSTEM). En l’actualització d’este mes, Microsoft ha eliminat completament els controladors vulnerables (agrsm64.sys i agrsm.sys) dels sistemes compatibles per a mitigar el risc.

Recomanacions:

Aplicar les actualitzacions de Microsoft quan estiguen disponibles

Referències: 

• • https://msrc.microsoft.com/update-guide/

  • https://www.bleepingcomputer.com/news/microsoft/microsoft-january-2026-patch-tuesday-fixes-3-zero-days-114-flaws/

  • https://www.darkreading.com/application-security/microsofts-starts-2026-bang-zero-day

Introducció

      S’han identificat múltiples vulnerabilitats crítiques en Veeam Backup & Replication, un programari àmpliament usat per a còpies de seguretat empresarials. Algunes d’estes vulnerabilitats són de tipus execució remota de codi (RCE). Veeam ha publicat pegats i actualitzacions de seguretat, però els sistemes encara sense actualitzar poden romandre exposats a atacs persistents, incloent-hi l’eliminació de còpies de seguretat i el desplegament de programari maliciós (malware) en infraestructures crítiques. 

Anàlisi 

Destaca la vulnerabilitat crítica CVE-2025-59470:

Per a explotar la vulnerabilitat cal estar autenticat amb un rol privilegiat, com Backup Operator o Tape Operator. Estos rols tenen permisos elevats dins de Veeam Backup & Replication, cosa que permet que un atacant autenticat puga enviar paràmetres maliciosos i executar codi com l’usuari Postgres.

A més, es publiquen altres vulnerabilitats:

• • CVE-2025-55125: permet a un operador de còpia de seguretat o cinta executar un codi remot com a arrel (root) mitjançant un arxiu de configuració maliciós. Té severitat alta i un CVSS v3.1: 7.2.

  • CVE-2025-59468: permet a un administrador de còpia de seguretat executar un codi remot com l’usuari Postgres enviant un paràmetre de contrasenya maliciós. Té severitat mitjana i un CVSS v3.1: 6.7

  • CVE-2025-59469: permet que un operador de còpia de seguretat o cinta puga escriure arxius com a arrel. Té severitat alta i un CVSS v3.1: 7.2.

Recursos afectats:

• • Veeam Backup & Replication 13.0.1.180 i totes les versions anteriors dins de la branca 13.x sense aplicar pegats.

Solució: actualitzar a 13.0.1.1071 o posterior.

Referències: 

• • https://www.veeam.com/kb4792

  • https://www.bleepingcomputer.com/news/security/new-veeam-vulnerabilities-expose-backup-servers-to-rce-attacks/