Alertas de Seguridad de la Información

F Medio vulnerabilidad

12/05/2026

Divulgación de OTP en Fortitoken por TokenContentProvider exportado

Fortinet reporta una vulnerabilidad de seguridad en Fortitoken que permite la exposición de códigos OTP (One-Time Password) mediante un ContentProvider exportado sin restricciones. Este defecto afecta la autenticación multifactor en entornos empresariales que dependen de Fortitoken para acceso a FortiGate, SSL-VPN y consolas de administración. En LATAM, donde muchas organizaciones usan Fortinet para perímetro de red, esta vulnerabilidad compromete la cadena de autenticación en infraestructuras críticas.

firewall PAN PSIRT

F Alto vulnerabilidad

12/05/2026

Vulnerabilidad de acceso fuera de límites en demonio CAPWAP de Fortios

Fortinet reporta una vulnerabilidad de lectura/escritura fuera de límites en el demonio CAPWAP de Fortios que afecta la integridad y disponibilidad de FortiGate. Esta falla es crítica en entornos LATAM donde FortiGate gestiona perímetros de red corporativos. Un atacante podría explotar esta debilidad para causar denegación de servicio o acceso no autorizado a datos sensibles.

firewallfortios PAN PSIRT

F Crítico vulnerabilidad

12/05/2026

Inyección SQL en portal administrativo de Fortimail

Fortinet ha publicado un advisory de seguridad crítica que afecta a Fortimail: una vulnerabilidad de inyección SQL en el portal administrativo que permite a atacantes ejecutar comandos arbitrarios en la base de datos. Esta vulnerabilidad pone en riesgo la confidencialidad e integridad de los correos electrónicos y datos sensibles almacenados en soluciones Fortimail desplegadas en empresas de México y Latinoamérica.

firewallfortimailsqli PAN PSIRT

F Alto vulnerabilidad

15/04/2026

Vulnerabilidad de escritura fuera de límites en interfaz administrativa de Fortiweb

Fortinet ha publicado un advisory de seguridad sobre una vulnerabilidad de escritura fuera de límites (Out-Of-Bounds Write) en la interfaz administrativa de Fortiweb. Esta falla podría permitir a atacantes no autenticados ejecutar código malicioso o corromper datos críticos en dispositivos expuestos. Empresas en México y LATAM que utilizan Fortiweb como solución WAF deben priorizar la aplicación de parches para evitar compromiso de sus infraestructuras web.

firewallfortiweb PAN PSIRT

F Crítico vulnerabilidad

14/04/2026

Vulnerabilidad de autenticación en Fortisoar: replay de solicitudes 2FA sin token válido

Fortinet PSIRT reporta una vulnerabilidad en Fortisoar que permite reutilizar solicitudes de autenticación de dos factores (2FA) después de una autenticación exitosa, sin validación de token. Esto afecta a plataformas de orquestación de seguridad en operaciones SOC/CSIRT en empresas mexicanas y latinoamericanas. Un atacante podría eludir la autenticación de segunda capa comprometiendo la integridad de incidentes críticos.

firewall PAN PSIRT

F Crítico vulnerabilidad

14/04/2026

Vulnerabilidad de eliminación arbitraria de directorios en Fortisandbox

Fortinet PSIRT ha publicado un advisory sobre una vulnerabilidad de traversal de ruta en la función de eliminación de vmimages de Fortisandbox. Un atacante podría explotar esta falla para eliminar directorios arbitrarios en sistemas afectados, comprometiendo la integridad del sandbox y potencialmente afectando la funcionalidad de análisis de malware. Empresas en LATAM que utilizan Fortisandbox para análisis de amenazas deben actualizar inmediatamente sus instancias.

firewallfortisandboxpath-traversal PAN PSIRT

F Medio vulnerabilidad

14/04/2026

Vulnerabilidad en Fortisoar: credenciales en texto plano recuperables mediante modificación de IP en LDAP

Fortinet PSIRT reporta una vulnerabilidad en Fortisoar que permite la recuperación de credenciales en texto plano mediante manipulación de parámetros IP en configuraciones LDAP. Esta falla afecta directamente a empresas en México y LATAM que utilizan Fortisoar para orquestación de seguridad y gestión de identidades. El riesgo es crítico en entornos donde LDAP maneja credenciales de acceso administrativo o de servicios sensibles.

firewall PAN PSIRT

F Medio vulnerabilidad

14/04/2026

Vulnerabilidad en Fortisoar: credenciales en texto plano accesibles mediante modificación de IP

Fortinet ha publicado un advisory de seguridad sobre Fortisoar que permite la recuperación de credenciales en texto plano mediante la manipulación de parámetros de dirección IP en los conectores. Esta vulnerabilidad afecta principalmente a organizaciones en México y Latinoamérica que utilizan Fortisoar para orquestación de seguridad e integración de herramientas. Un atacante con acceso a la interfaz de gestión podría extraer credenciales almacenadas de sistemas integrados.

firewall PAN PSIRT

F Medio vulnerabilidad

14/04/2026

Credenciales en texto plano en respuestas de endpoints API de Fortisoar

Fortisoar expone credenciales sin cifrar en respuestas de API, permitiendo que actores autenticados o con acceso a tráfico de red comprometidos intercepten datos sensibles. Esta vulnerabilidad afecta principalmente a empresas en LATAM que utilizan Fortisoar para orquestación de seguridad y automatización de incidentes, exponiendo credenciales de sistemas integrados y cuentas administrativas.

firewall PAN PSIRT

F Medio vulnerabilidad

14/04/2026

Clave de encriptación hardcodeada en PostgreSQL de FortiClient

FortiClient contiene una clave de encriptación simétrica hardcodeada para PostgreSQL, permitiendo a atacantes descifrar datos sensibles almacenados localmente. Esta vulnerabilidad afecta principalmente a empresas que despliegan FortiClient en endpoints corporativos en LATAM, comprometiendo credenciales VPN y datos de configuración de seguridad.

firewallforticlient PAN PSIRT

F Crítico vulnerabilidad

14/04/2026

Desbordamiento de búfer en daemon oftpd de Fortianalyzer

Fortinet PSIRT publicó un advisory de seguridad sobre un desbordamiento de búfer basado en heap en el daemon oftpd que afecta a Fortianalyzer. Esta vulnerabilidad podría permitir a atacantes ejecutar código arbitrario o causar denegación de servicio en equipos de análisis de registros. El impacto es crítico en infraestructuras LATAM donde Fortianalyzer centraliza logs de FortiGate y otros dispositivos de seguridad.

firewallfortianalyzerbuffer-overflow PAN PSIRT

F Medio vulnerabilidad

14/04/2026

Desbordamiento de enteros causa denegación de servicio en interfaz administrativa de Fortiweb

Fortinet reporta una vulnerabilidad de desbordamiento de enteros en la interfaz administrativa de Fortiweb que permite denegar el servicio. Esta falla afecta directamente la disponibilidad de plataformas de protección web críticas en empresas LATAM, especialmente aquellas con Fortiweb expuesto a internet o en arquitecturas de perímetro híbrido.

firewallfortiweb PAN PSIRT

F Crítico vulnerabilidad

14/04/2026

Vulnerabilidad de autenticación faltante en daemon CAPWAP de FortiOS

Fortinet reporta una vulnerabilidad de seguridad crítica en FortiOS donde falta autenticación en una función del daemon CAPWAP (Control and Provisioning of Wireless Access Points), permitiendo acceso no autorizado a funciones críticas. Esto afecta especialmente a empresas en LATAM que utilizan FortiGate como gateway perimetral, poniendo en riesgo redes corporativas, conectividad wireless y comunicaciones VPN.

firewallfortios PAN PSIRT

F Crítico vulnerabilidad

14/04/2026

Múltiples vulnerabilidades de recorrido de directorios en CLI de Fortiweb

Fortinet PSIRT ha publicado un advisory sobre vulnerabilidades de path traversal en la interfaz de línea de comandos (CLI) de Fortiweb, permitiendo a atacantes acceder a archivos del sistema más allá de directorios restringidos. En entornos LATAM, Fortiweb es comúnmente utilizado como Web Application Firewall en infraestructuras de comercio electrónico, instituciones financieras y proveedores de servicios. La explotación de estas vulnerabilidades podría comprometer la confidencialidad de configuraciones sensibles y datos de aplicaciones protegidas.

firewallfortiwebpath-traversal PAN PSIRT

F Crítico vulnerabilidad

14/04/2026

Múltiples inyecciones SQL en Forticlient

Fortinet PSIRT publica alerta sobre vulnerabilidades de inyección SQL en Forticlient que podrían permitir a atacantes ejecutar comandos SQL maliciosos contra la aplicación. Las empresas en México y LATAM que utilicen este cliente VPN en entornos corporativos deben evaluar el impacto inmediato, especialmente en roles administrativos y endpoints expuestos a redes no confiables.

firewallforticlientsqli PAN PSIRT

F Medio vulnerabilidad

14/04/2026

Múltiples vulnerabilidades Stored XSS en FortiSandbox

Fortinet ha publicado un advisory de seguridad sobre vulnerabilidades de Cross-Site Scripting (XSS) almacenado en FortiSandbox, su solución de análisis dinámico de malware. Estas vulnerabilidades permiten a atacantes inyectar código malicioso que se ejecuta en el navegador de usuarios autenticados, comprometiendo datos sensibles y credenciales. El impacto es crítico en entornos corporativos de México y LATAM donde FortiSandbox se integra con infraestructuras de seguridad perimetral.

firewallfortisandbox PAN PSIRT

F Crítico vulnerabilidad

14/04/2026

Inyección de Comandos OS en endpoint API de Fortisandbox

Fortinet publica alerta crítica sobre una vulnerabilidad de inyección de comandos del sistema operativo en Fortisandbox que permite a atacantes ejecutar comandos arbitrarios a través de un endpoint API sin autenticación. Esta vulnerabilidad afecta directamente a empresas en México y LATAM que utilizan Fortisandbox para análisis de malware y sandboxing, exponiendo infraestructura crítica de seguridad perimetral. El acceso no autenticado al endpoint API representa un riesgo inmediato para entornos de producción conectados a internet.

firewallfortisandboxcommand-injection PAN PSIRT

F Medio vulnerabilidad

14/04/2026

Vulnerabilidad de redirección abierta en Fortinac mediante opción de importación CSV

Fortinet ha publicado un advisory sobre una vulnerabilidad de redirección abierta (Open Redirection) en Fortinac, que permite a atacantes redirigir usuarios a sitios maliciosos mediante la función de importación de archivos CSV. Esta vulnerabilidad afecta principalmente a empresas en México y LATAM que utilizan Fortinac para gestión de identidades y accesos. El riesgo se amplifica en entornos híbridos o multi-cloud donde Fortinac está expuesto a internet.

firewall PAN PSIRT

F Crítico vulnerabilidad

14/04/2026

Vulnerabilidad de Path Traversal en FortiOS CLI

Fortinet ha publicado un advisory de seguridad sobre una vulnerabilidad de Path Traversal en la interfaz de línea de comandos (CLI) de FortiOS. Esta falla permite a atacantes con acceso a la CLI eludir controles de seguridad y acceder a archivos del sistema sin autorización. El impacto es crítico en entornos donde el acceso administrativo está compartido o comprometido, afectando potencialmente la confidencialidad de configuraciones sensibles y datos de diagnóstico en dispositivos FortiGate desplegados en perímetros de red en LATAM.

firewallfortiospath-traversal PAN PSIRT

F Crítico vulnerabilidad

14/04/2026

Vulnerabilidad de Path Traversal en CLI de Fortimanager

Fortinet ha publicado un advisory de seguridad sobre una vulnerabilidad de Path Traversal en la interfaz de línea de comandos (CLI) de Fortimanager. Esta vulnerabilidad permite a usuarios autenticados acceder a archivos del sistema mediante manipulación de rutas, comprometiendo la confidencialidad de datos sensibles en infraestructuras de gestión centralizada. Afecta principalmente a empresas en México y Latinoamérica que utilizan Fortimanager para administración de dispositivos Fortinet.

firewallfortimanagerpath-traversal PAN PSIRT