48 3052-8500

CVE-2025-59719 e CVE-2025-59718: falhas no Fortinet permitem bypass de autenticação SSO do FortiCloud - OSTEC | Segurança digital de resultados

CVE 3min de Leitura - 16 de dezembro de 2025

CVE-2025-59719 e CVE-2025-59718: falhas no Fortinet permitem bypass de autenticação SSO do FortiCloud

CVE-2025-59719-CVE-2025-59718

This post is also available in: Português

As vulnerabilidades CVE-2025-59719 e CVE-2025-59718 expõem uma falha crítica no mecanismo de autenticação SSO do FortiCloud, permitindo que atacantes não autenticados burlem o processo de login por meio da manipulação de respostas SAML. Ambas receberam pontuação CVSS 9.8, reforçando o alto impacto para ambientes corporativos que utilizam soluções Fortinet.

Essas falhas afetam diretamente produtos amplamente utilizados em ambientes de segurança perimetral, gerenciamento de redes e proteção de aplicações web, tornando o risco especialmente relevante para organizações que integram seus dispositivos ao FortiCloud para autenticação centralizada.

Quem é a Fortinet e por que isso importa

A Fortinet é uma das principais fornecedoras globais de soluções de cibersegurança, com um portfólio que inclui firewalls de próxima geração, WAFs, proxies seguros, gerenciamento de switches e plataformas integradas de segurança. Seus produtos estão presentes em infraestruturas críticas de empresas, provedores de serviços e órgãos governamentais em todo o mundo.

Falhas que afetam o fluxo de autenticação, especialmente em mecanismos de SSO baseados em padrões como SAML, são particularmente sensíveis. Isso porque o SSO costuma ser um ponto central de confiança, e qualquer desvio nesse processo pode permitir acesso indevido a sistemas administrativos e recursos críticos.

Entendendo as vulnerabilidades CVE-2025-59719 e CVE-2025-59718

Tanto a CVE-2025-59719 quanto a CVE-2025-59718 estão associadas à verificação inadequada de assinatura criptográfica em respostas SAML, categorizada como CWE-347. Em termos práticos, os produtos afetados não validam corretamente a assinatura digital das mensagens SAML recebidas durante o processo de autenticação SSO do FortiCloud.

Essa falha permite que um atacante crie ou manipule uma resposta SAML maliciosa e a envie ao sistema vulnerável. Como a assinatura não é devidamente verificada, o dispositivo pode aceitar a resposta como legítima e conceder acesso sem que o atacante possua credenciais válidas.

A principal diferença entre as CVEs está no conjunto de produtos afetados:

  • CVE-2025-59719 impacta especificamente o FortiWeb, solução de Web Application Firewall da Fortinet.
  • CVE-2025-59718 afeta um conjunto mais amplo de produtos, incluindo FortiOS, FortiProxy e FortiSwitchManager.

Produtos e versões afetadas

CVE-2025-59719 – FortiWeb

As versões vulneráveis do FortiWeb incluem:

  • FortiWeb 8.0.0
  • FortiWeb 7.6.0 a 7.6.4
  • FortiWeb 7.4.0 a 7.4.9

CVE-2025-59718 – FortiOS, FortiProxy e FortiSwitchManager

As versões afetadas são extensas e abrangem múltiplas gerações dos produtos:

  • FortiOS 7.6.0 a 7.6.3
  • FortiOS 7.4.0 a 7.4.8
  • FortiOS 7.2.0 a 7.2.11
  • FortiOS 7.0.0 a 7.0.17
  • FortiProxy 7.6.0 a 7.6.3
  • FortiProxy 7.4.0 a 7.4.10
  • FortiProxy 7.2.0 a 7.2.14
  • FortiProxy 7.0.0 a 7.0.21
  • FortiSwitchManager 7.2.0 a 7.2.6
  • FortiSwitchManager 7.0.0 a 7.0.5

Gravidade

A pontuação CVSS 9.8 (Crítica) reflete uma combinação extremamente perigosa de fatores. As vulnerabilidades podem ser exploradas remotamente, não exigem autenticação prévia e afetam diretamente o controle de acesso aos sistemas. Além disso, o impacto potencial inclui comprometimento total da confidencialidade, integridade e disponibilidade dos dispositivos afetados.

Outro ponto relevante é que o ataque ocorre antes de qualquer verificação de identidade, explorando justamente o mecanismo responsável por garantir a autenticidade do usuário. Isso amplia significativamente a superfície de ataque e reduz as barreiras para exploração.

Impactos práticos para as organizações

A exploração bem-sucedida dessas falhas pode permitir que atacantes obtenham acesso administrativo aos dispositivos Fortinet integrados ao FortiCloud. A partir disso, é possível alterar configurações de segurança, desativar mecanismos de proteção, redirecionar tráfego, criar persistência no ambiente e até facilitar ataques posteriores contra outros sistemas internos.

Em ambientes corporativos, onde FortiOS, FortiProxy, FortiSwitchManager e FortiWeb costumam ocupar posições estratégicas na arquitetura de rede, esse tipo de acesso indevido representa um risco elevado de comprometimento em larga escala.

Mitigação e recomendações

A Fortinet já disponibilizou atualizações de segurança para corrigir as falhas identificadas. A recomendação é que as organizações realizem a atualização imediata para versões corrigidas, conforme indicado nos avisos oficiais da FortiGuard PSIRT.
Além da aplicação dos patches, é altamente recomendável revisar o uso do SSO do FortiCloud, monitorar logs de autenticação em busca de comportamentos anômalos e restringir o acesso administrativo apenas a redes e usuários estritamente necessários.

Manter os produtos Fortinet atualizados, acompanhar os comunicados de segurança do fabricante e adotar boas práticas de monitoramento são passos essenciais para reduzir o risco de exploração e preservar a integridade dos ambientes corporativos.

This post is also available in: Português

CVE-2025-54100: Vulnerabilidade zero-day no Windows PowerShell permite execução de código malicioso

Postagem anterior