A Fortinet lançou atualizações para corrigir uma falha de segurança crítica que afeta o FortiSIEM e que pode permitir que um invasor não autenticado executasse código em instâncias vulneráveis.
A vulnerabilidade de injeção no sistema operacional (SO), rastreada como CVE-2025-64155, tem uma classificação de 9,4 em 10,0 no sistema de pontuação CVSS.
“Uma vulnerabilidade de neutralização inadequada de elementos especiais usados em um comando do sistema operacional (‘injeção de comando do sistema operacional’) [CWE-78] no FortiSIEM pode permitir que um invasor não autenticado execute código ou comandos não autorizados por meio de solicitações TCP manipuladas”, disse a empresa em um boletim.
A Fortinet afirmou que a vulnerabilidade afeta apenas os nós Super e Worker e que foi corrigida nas seguintes versões:
- FortiSIEM 6.7.0 a 6.7.10 (Migrar para uma versão corrigida)
- FortiSIEM 7.0.0 até 7.0.4 (Migrar para uma versão corrigida)
- FortiSIEM 7.1.0 a 7.1.8 (Atualize para 7.1.9 ou superior)
- FortiSIEM 7.2.0 a 7.2.6 (Atualize para 7.2.7 ou superior)
- FortiSIEM 7.3.0 a 7.3.4 (Atualize para 7.3.5 ou superior)
- FortiSIEM 7.4.0 (Atualize para a versão 7.4.1 ou superior)
- FortiSIEM 7.5 (Não afetado)
- FortiSIEM Cloud (Não afetado)
A Fortinet também lançou correções para outra vulnerabilidade crítica de segurança no FortiFone (CVE-2025-47855, pontuação CVSS: 9,3) que poderia permitir que um invasor não autenticado obtivesse a configuração do dispositivo por meio de uma solicitação HTTP(S) especialmente criada para a página do Portal Web. Essa vulnerabilidade afeta as seguintes versões da plataforma de comunicações corporativas:
- FortiFone 3.0.13 a 3.0.23 (Atualize para 3.0.24 ou superior)
- FortiFone 7.0.0 a 7.0.1 (Atualize para 7.0.2 ou superior)
- FortiFone 7.2 (Não afetado)
Ela recomenda que os usuários se atualizem para as versões mais recentes e, como solução alternativa para a vulnerabilidade CVE-2025-64155, que os clientes limitem o acesso à porta phMonitor (7900).
A Horizon3.ai disponibilizou uma prova de conceito (PoC) para a vulnerabilidade CVE-2025-64155, demonstrando como ela poderia ser explorada por um atacante remoto e não autenticado para executar código arbitrário e assumir o controle de um dispositivo. E a Defused Cyber, em uma publicação compartilhada no X em 15 de janeiro de 2026, afirmou ter observado a exploração direcionada da vulnerabilidade CVE-2025-64155 em seus honeypots, com os ataques originados de pelo menos seis endereços IP distintos (167.17.179[.]109; 103.224.84[.]76; 209.126.11[.]25; 120.231.127[.]227; 129.226.190[.]169; 220.181.41[.]80)
