CVE-2026-24858
CVE-2026-24858
En resumen
Una falla en productos Fortinet permite que atacantes con una cuenta FortiCloud inicien sesión en dispositivos de otros usuarios si FortiCloud SSO está habilitado. Esto omite la autenticación normal y otorga acceso no autorizado a sistemas sensibles.
Detalle técnico
Bypass de autenticación mediante canal alternativo (CWE-288) afectando múltiples productos Fortinet cuando FortiCloud SSO está habilitado. Un atacante con cualquier cuenta FortiCloud válida y dispositivo registrado puede autenticarse como otros usuarios en dispositivos no relacionados. La vulnerabilidad explota validación inadecuada de credenciales SSO a través de límites de dispositivo.
Resumen generado y traducido por IA a partir de la descripción oficial.
An Authentication Bypass Using an Alternate Path or Channel vulnerability [CWE-288] vulnerability in Fortinet FortiAnalyzer 7.6.0 through 7.6.5, FortiAnalyzer 7.4.0 through 7.4.9, FortiAnalyzer 7.2.0 through 7.2.11, FortiAnalyzer 7.0.0 through 7.0.15, FortiManager 7.6.0 through 7.6.5, FortiManager 7.4.0 through 7.4.9, FortiManager 7.2.0 through 7.2.11, FortiManager 7.0.0 through 7.0.15, FortiNAC-F 7.6.3 through 7.6.5, FortiOS 7.6.0 through 7.6.5, FortiOS 7.4.0 through 7.4.10, FortiOS 7.2.0 through 7.2.12, FortiOS 7.0.0 through 7.0.18, FortiProxy 7.6.0 through 7.6.4, FortiProxy 7.4.0 through 7.4.12, FortiProxy 7.2.0 through 7.2.15, FortiProxy 7.0.0 through 7.0.22, FortiWeb 8.0.0 through 8.0.3, FortiWeb 7.6.0 through 7.6.6, FortiWeb 7.4.0 through 7.4.11 may allow an attacker with a FortiCloud account and a registered device to log into other devices registered to other accounts, if FortiCloud SSO authentication is enabled on those devices.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:H/RL:O/RC:C
Productos afectados
Fortinet · FortiAnalyzerFortinet · FortiManagerFortinet · FortiNAC-FFortinet · FortiOSFortinet · FortiProxyFortinet · FortiWeb¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →