CSIRT Toscana Vulnerabilità in prodotti Fortinet (AL02/260114/CSIRT-ITA)
Data:
15 Gennaio 2026
Impatto Sistemico
Critico (78.71)
Sintesi
Rilevate nuove vulnerabilità in molteplici prodotti Fortinet, tra cui due con gravità “critica” e una con gravità “alta”, presenti in FortiOS, FortiSIEM, FortiSASE, FortiFone e FortiSwitchManager.
Tipologia
- Remote Code Execution
- Information Disclosure
Prodotti e versioni affette
Fortinet
FortiOS
- 7.6 versioni precedenti alla 7.6.4
- 7.4 versioni precedenti alla 7.4.9
- 7.2 versioni precedenti alla 7.2.12
- 7.0 versioni precedenti alla 7.0.18
- 6.4, versioni precedenti alla 6.4.17
FortiSIEM
- 7.4, versioni precedenti alla 7.4.1
- 7.3, versioni precedenti alla 7.3.5
- 7.2, versioni precedenti alla 7.2.7
- 7.1, versioni precedenti alla 7.1.9
- 7.0, versioni dalla 7.0.0 alla 7.0.4
- 6.7, versioni dalla 6.7.0 alla 6.7.10
FortiSwitchManager
- 7.2 versioni precedenti alla 7.2.7
- 7.0 versioni precedenti alla 7.0.6
FortiSASE
- 25.2, versione 25.2.b
- 25.1.a, versione 25.1.a.2
FortiFone
- 7.0, versioni precedenti alla 7.2
- 3.0, versioni dalla 3.0.13 alla 3.0.23
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni dei bollettini di sicurezza riportati nella sezione Riferimenti.
Riferimenti
- https://fortiguard.fortinet.com/psirt/FG-IR-25-084
- https://fortiguard.fortinet.com/psirt/FG-IR-25-260
- https://fortiguard.fortinet.com/psirt/FG-IR-25-772
CVE
| CVE-ID | ||
|---|---|---|
| CVE-2025-25249 | CVE-2025-47855 | CVE-2025-64155 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 14-01-2026 | 14/01/2026 |
| 1.1 | Aggiornata la sezione “CVE” per rilevamento PoC per lo sfruttamento della CVE-2025-64155 | 15/01/2026 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
15 Gennaio 2026, 15:30