Overview
A Fortinet divulgou duas vulnerabilidades críticas no FortiOS que afetam a implementação do Single Sign-On (SSO) via SAML com FortiCloud. As falhas CVE-2025-59718 (CVSS 9.8) e CVE-2025-59719 (CVSS 9.8) permitem que atacantes remotos não autenticados realizem bypass completo da autenticação administrativa através da falsificação de respostas SAML, obtendo acesso total aos dispositivos FortiGate comprometidos.
As vulnerabilidades decorrem de uma validação inadequada de assinaturas nas respostas SAML durante o processo de autenticação SSO. Um atacante pode explorar essas falhas criando tokens SAML maliciosos que são aceitos pelo FortiOS como legítimos, permitindo autenticação como administrador sem necessidade de credenciais válidas. Neste caso, a exploração não requer interação do usuário ou condições especiais, tornando os ataques altamente viáveis contra organizações que utilizam FortiCloud SSO.
É válido ressaltar que a ferramenta de login SSO do FortiCloud não está habilitada nas configurações de fábrica. Contudo, tal ferramenta é ativada automaticamente quando um administrador registra o dispositivo no FortiCare por meio do GUI, desde que não tenha desabilitado a opção "Permitir login administrativo usando o SSO do FortiCloud". A Fortinet já liberou patches de correção e recomenda aplicação imediata em todos os dispositivos afetados que utilizam autenticação SAML com FortiCloud.
Produtos Afetados
| CVE | Severidade | Produto Afetado |
|---|---|---|
| CVE-2025-59718 | Crítica | FortiOS 7.6.0 até 7.6.3, FortiOS 7.4.0 até 7.4.8, FortiOS 7.2.0 até 7.2.11, FortiOS 7.0.0 até 7.0.17, FortiProxy 7.6.0 até 7.6.3, FortiProxy 7.4.0 até 7.4.10, FortiProxy 7.2.0 até 7.2.14, FortiProxy 7.0.0 até 7.0.21, FortiSwitchManager 7.2.0 até 7.2.6, FortiSwitchManager 7.0.0 até 7.0.5, FortiWeb 8.0.0, FortiWeb 7.6.0 até 7.6.4, FortiWeb 7.4.0 até 7.4.9 |
| CVE-2025-59719 | Crítica | FortiOS 7.6.0 até 7.6.3, FortiOS 7.4.0 até 7.4.8, FortiOS 7.2.0 até 7.2.11, FortiOS 7.0.0 até 7.0.17, FortiProxy 7.6.0 até 7.6.3, FortiProxy 7.4.0 até 7.4.10, FortiProxy 7.2.0 até 7.2.14, FortiProxy 7.0.0 até 7.0.21, FortiSwitchManager 7.2.0 até 7.2.6, FortiSwitchManager 7.0.0 até 7.0.5, FortiWeb 8.0.0, FortiWeb 7.6.0 até 7.6.4, FortiWeb 7.4.0 até 7.4.9 |
Nota: Dispositivos FortiGate configurados com autenticação SSO por meio do FortiCloud são vulneráveis.
Recomendações
- Atualizar imediatamente todos os dispositivos FortiGate para as versões corrigidas, como FortiOS 7.6.4 ou superior, FortiOS 7.4.9 ou superior, FortiOS 7.2.12 ou superior, FortiOS 7.0.18 ou superior
- Priorizar a aplicação de patches em dispositivos que utilizam FortiCloud SSO SAML, especialmente aqueles expostos à internet ou em perímetros críticos
- Considerar desabilitar temporariamente a ferramenta de login do FortiCloud SSO, caso esteja ativada, até a atualização para uma versão corrigida
- Revisar logs de autenticação SSO SAML para identificar tentativas de login suspeitas
- Implementar monitoramento de acessos administrativos, especialmente sessões originadas via SSO SAML, com alertas para comportamentos anômalos
- Avaliar a adoção de autenticação multifator (MFA) adicional para contas administrativas
Fontes
Overview
Fortinet disclosed two critical vulnerabilities in FortiOS that affect the Single Sign-On (SSO) implementation via SAML with FortiCloud. The flaws CVE-2025-59718 (CVSS 9.8) and CVE-2025-59719 (CVSS 9.8) allow remote unauthenticated attackers to perform complete administrative authentication bypass through SAML response forgery, gaining full access to compromised FortiGate devices.
The vulnerabilities stem from inadequate signature validation in SAML responses during the SSO authentication process. An attacker can exploit these flaws by creating malicious SAML tokens that are accepted by FortiOS as legitimate, enabling authentication as administrator without requiring valid credentials. In this case, exploitation does not require user interaction or special conditions, making attacks highly feasible against organizations using FortiCloud SSO.
It is worth noting that the FortiCloud SSO login feature is not enabled in factory settings. However, this feature is automatically activated when an administrator registers the device in FortiCare through the GUI, as long as they have not disabled the "Allow administrative login using FortiCloud SSO" option. Fortinet has released patches and recommends immediate application on all affected devices using SAML authentication with FortiCloud.
Affected Products
| CVE | Severity | Affected Product |
|---|---|---|
| CVE-2025-59718 | Critical | FortiOS 7.6.0 through 7.6.3, FortiOS 7.4.0 through 7.4.8, FortiOS 7.2.0 through 7.2.11, FortiOS 7.0.0 through 7.0.17, FortiProxy 7.6.0 through 7.6.3, FortiProxy 7.4.0 through 7.4.10, FortiProxy 7.2.0 through 7.2.14, FortiProxy 7.0.0 through 7.0.21, FortiSwitchManager 7.2.0 through 7.2.6, FortiSwitchManager 7.0.0 through 7.0.5, FortiWeb 8.0.0, FortiWeb 7.6.0 through 7.6.4, FortiWeb 7.4.0 through 7.4.9 |
| CVE-2025-59719 | Critical | FortiOS 7.6.0 through 7.6.3, FortiOS 7.4.0 through 7.4.8, FortiOS 7.2.0 through 7.2.11, FortiOS 7.0.0 through 7.0.17, FortiProxy 7.6.0 through 7.6.3, FortiProxy 7.4.0 through 7.4.10, FortiProxy 7.2.0 through 7.2.14, FortiProxy 7.0.0 through 7.0.21, FortiSwitchManager 7.2.0 through 7.2.6, FortiSwitchManager 7.0.0 through 7.0.5, FortiWeb 8.0.0, FortiWeb 7.6.0 through 7.6.4, FortiWeb 7.4.0 through 7.4.9 |
Note: FortiGate devices configured with SSO authentication via FortiCloud are vulnerable.
Recommendations
- Immediately update all FortiGate devices to patched versions, such as FortiOS 7.6.4 or higher, FortiOS 7.4.9 or higher, FortiOS 7.2.12 or higher, FortiOS 7.0.18 or higher
- Prioritize patch deployment on devices using FortiCloud SSO SAML, especially those exposed to the internet or in critical perimeters
- Consider temporarily disabling the FortiCloud SSO login feature, if enabled, until updating to a patched version
- Review SSO SAML authentication logs to identify suspicious login attempts
- Implement monitoring of administrative access, especially sessions originated via SSO SAML, with alerts for anomalous behavior
- Evaluate the adoption of additional multifactor authentication (MFA) for administrative accounts
Sources
Overview
Fortinet divulgó dos vulnerabilidades críticas en FortiOS que afectan la implementación de Single Sign-On (SSO) vía SAML con FortiCloud. Las fallas CVE-2025-59718 (CVSS 9.8) y CVE-2025-59719 (CVSS 9.8) permiten que atacantes remotos no autenticados realicen bypass completo de la autenticación administrativa a través de la falsificación de respuestas SAML, obteniendo acceso total a los dispositivos FortiGate comprometidos.
Las vulnerabilidades se deben a una validación inadecuada de firmas en las respuestas SAML durante el proceso de autenticación SSO. Un atacante puede explotar estas fallas creando tokens SAML maliciosos que son aceptados por FortiOS como legítimos, permitiendo autenticación como administrador sin necesidad de credenciales válidas. En este caso, la explotación no requiere interacción del usuario o condiciones especiales, haciendo los ataques altamente viables contra organizaciones que utilizan FortiCloud SSO.
Es importante resaltar que la herramienta de login SSO de FortiCloud no está habilitada en las configuraciones de fábrica. Sin embargo, esta herramienta se activa automáticamente cuando un administrador registra el dispositivo en FortiCare a través del GUI, siempre que no haya deshabilitado la opción "Permitir login administrativo usando SSO de FortiCloud". Fortinet ya liberó parches de corrección y recomienda aplicación inmediata en todos los dispositivos afectados que utilizan autenticación SAML con FortiCloud.
Productos Afectados
| CVE | Severidad | Producto Afectado |
|---|---|---|
| CVE-2025-59718 | Crítica | FortiOS 7.6.0 hasta 7.6.3, FortiOS 7.4.0 hasta 7.4.8, FortiOS 7.2.0 hasta 7.2.11, FortiOS 7.0.0 hasta 7.0.17, FortiProxy 7.6.0 hasta 7.6.3, FortiProxy 7.4.0 hasta 7.4.10, FortiProxy 7.2.0 hasta 7.2.14, FortiProxy 7.0.0 hasta 7.0.21, FortiSwitchManager 7.2.0 hasta 7.2.6, FortiSwitchManager 7.0.0 hasta 7.0.5, FortiWeb 8.0.0, FortiWeb 7.6.0 hasta 7.6.4, FortiWeb 7.4.0 hasta 7.4.9 |
| CVE-2025-59719 | Crítica | FortiOS 7.6.0 hasta 7.6.3, FortiOS 7.4.0 hasta 7.4.8, FortiOS 7.2.0 hasta 7.2.11, FortiOS 7.0.0 hasta 7.0.17, FortiProxy 7.6.0 hasta 7.6.3, FortiProxy 7.4.0 hasta 7.4.10, FortiProxy 7.2.0 hasta 7.2.14, FortiProxy 7.0.0 hasta 7.0.21, FortiSwitchManager 7.2.0 hasta 7.2.6, FortiSwitchManager 7.0.0 hasta 7.0.5, FortiWeb 8.0.0, FortiWeb 7.6.0 hasta 7.6.4, FortiWeb 7.4.0 hasta 7.4.9 |
Nota: Dispositivos FortiGate configurados con autenticación SSO a través de FortiCloud son vulnerables.
Recomendaciones
- Actualizar inmediatamente todos los dispositivos FortiGate a las versiones corregidas, como FortiOS 7.6.4 o superior, FortiOS 7.4.9 o superior, FortiOS 7.2.12 o superior, FortiOS 7.0.18 o superior
- Priorizar la aplicación de parches en dispositivos que utilizan FortiCloud SSO SAML, especialmente aquellos expuestos a internet o en perímetros críticos
- Considerar deshabilitar temporalmente la herramienta de login de FortiCloud SSO, si está activada, hasta la actualización a una versión corregida
- Revisar logs de autenticación SSO SAML para identificar intentos de login sospechosos
- Implementar monitoreo de accesos administrativos, especialmente sesiones originadas vía SSO SAML, con alertas para comportamientos anómalos
- Evaluar la adopción de autenticación multifactor (MFA) adicional para cuentas administrativas
Fuentes
Central de Conteúdos SEK
Acesse nossa central de conteúdos e confira os mais recentes relatórios e notícias sobre cibersegurança.
Acessar Central de ConteúdosSEK Content Hub
Access our content hub and check out the latest reports and news on cybersecurity.
Access Content HubCentral de Contenidos SEK
Accede a nuestra central de contenidos y consulta los informes y noticias más recientes sobre ciberseguridad.
Acceder a la Central de Contenidos