This post is also available in: Português Español
Fortinet emitió un aviso de seguridad urgente con respecto a CVE-2025-32756, una vulnerabilidad crítica de desbordamiento de búfer basada en pila (stack-based buffer overflow)que se está explotando activamente. La falla, que afecta a múltiples productos de la compañía, se ha sumado al catálogo de vulnerabilidades explotadas de CISA, lo que refuerza la necesidad de una respuesta rápida por parte de las organizaciones que utilizan estas soluciones.
¿Qué es CVE-2025-32756?
CVE-2025-32756 se refiere a una falla de seguridad clasificada como CWE-121, donde una aplicación escribe datos más allá del límite de un búfer ubicado en la pila. Esta violación de memoria podría permitir que un atacante remoto no autenticado envíe solicitudes HTTP diseñadas y, de ese modo, ejecute código o comandos arbitrarios en los sistemas afectados.
Con una puntuación CVSS de 9.8, esa vulnerabilidad es considerada crítica, dada su severidad, la simplicidad de la falla y la posibilidad sobre el control total del sistema afectado sin la necesidad de autenticación.
Productos afectados
De acuerdo con el boletín oficial FG-IR-25-254 de Fortinet, los siguientes productos están vulnerables al CVE-2025-32756:
- FortiMail
- FortiVoice
- FortiNDR
- FortiRecorder
- FortiCamera
La vulnerabilidad está presente en versiones específicas de estos productos y Fortinet ya ha lanzado actualizaciones de seguridad para mitigar el riesgo. Estos dispositivos desempeñan funciones importantes en las comunicaciones corporativas, el monitoreo y la respuesta a incidentes, lo que magnifica el impacto potencial de la falla.
Explotación activa y alerta CISA
CISA ha incluido CVE-2025-32756 en su catálogo de vulnerabilidades explotables conocidas (KEV). Esto significa que hay confirmación de que la falla está siendo utilizada en ataques reales, lo que refuerza la urgencia de solucionarlo.
Fortinet, aunque no detalló el vector de explotación exacto, dijo que la ejecución remota de código puede lograrse a través de solicitudes HTTP maliciosas. La combinación de simplicidad e impacto hace que esta vulnerabilidad sea particularmente atractiva para los actores maliciosos.
¿Cómo funciona el desbordamiento del búfer en la pila?
Un desbordamiento del búfer de pila ocurre cuando se escriben datos más allá de los límites designados de la memoria, lo que puede sobrescribir partes críticas del sistema, como los punteros de retorno. Esta falla permite a un atacante redirigir el flujo de ejecución de un programa, inyectando y ejecutando código malicioso.
En el caso de CVE-2025-32756, esto se puede hacer de forma remota, sin autenticación, lo que reduce significativamente las barreras de explotación y aumenta el riesgo para los entornos corporativos y gubernamentales.
Mitigación y actualizaciones disponibles
Fortinet ha publicado actualizaciones de seguridad para todas las versiones afectadas de los productos vulnerables a CVE-2025-32756 y recomienda que estas correcciones se apliquen lo antes posible.
Además de la actualización, es fundamental restringir el acceso a las interfaces de gestión HTTP y HTTPS, especialmente en entornos expuestos a internet. También se recomienda revisar los registros del sistema para detectar comportamientos anómalos que puedan indicar intentos de explotación.
La adopción de autenticación multifactor y la implementación de controles de acceso basados en IP ayuda a reducir la superficie de ataque y hace que sea más difícil para los atacantes realizar acciones no autorizadas.
This post is also available in: Português Español
