Una vulnerabilità critica, monitorata con il codice CVE-2025-59719, riguarda le linee di prodotti FortiOS, FortiWeb, FortiProxy e FortiSwitchManager è stata segnalata da Fortinet tramite un avviso di sicurezza urgente. Tale avviso è stato emesso in relazione a falle di sicurezza che interessano tali prodotti.
Un aggressore potrebbe ottenere l’accesso amministrativo non autorizzato al dispositivo creando un messaggio SAML specifico, se la vulnerabilità viene sfruttata. Tale vulnerabilità è causata dall’incapacità del dispositivo di verificare in modo corretto le firme dei messaggi SAML.
Fortinet raccomanda ai propri clienti di procedere con l’aggiornamento alle versioni più recenti che seguono. Per quelle organizzazioni che non sono in grado di applicare le patch immediatamente, è stata messa a disposizione una soluzione provvisoria. Disabilitanto la funzionalità di accesso a FortiCloud, gli amministratori sono in grado di ridurre il rischio.
Advertising
Version
Affected
Solution
FortiOS 7.6
7.6.0 through 7.6.3
Upgrade to 7.6.4 or above
FortiOS 7.4
7.4.0 through 7.4.8
Upgrade to 7.4.9 or above
FortiOS 7.2
7.2.0 through 7.2.11
Upgrade to 7.2.12 or above
FortiOS 7.0
7.0.0 through 7.0.17
Upgrade to 7.0.18 or above
FortiOS 6.4
Not affected
Not Applicable
FortiProxy 7.6
7.6.0 through 7.6.3
Upgrade to 7.6.4 or above
FortiProxy 7.4
7.4.0 through 7.4.10
Upgrade to 7.4.11 or above
FortiProxy 7.2
7.2.0 through 7.2.14
Upgrade to 7.2.15 or above
FortiProxy 7.0
7.0.0 through 7.0.21
Upgrade to 7.0.22 or above
FortiSwitchManager 7.2
7.2.0 through 7.2.6
Upgrade to 7.2.7 or above
FortiSwitchManager 7.0
7.0.0 through 7.0.5
Upgrade to 7.0.6 or above
FortiWeb 8.0
8.0.0
Upgrade to 8.0.1 or above
FortiWeb 7.6
7.6.0 through 7.6.4
Upgrade to 7.6.5 or above
FortiWeb 7.4
7.4.0 through 7.4.9
Upgrade to 7.4.10 or above
FortiWeb 7.2
Not affected
Not Applicable
FortiWeb 7.0
Not affected
Not Applicable
La falla di sicurezza, identificata come Verifica impropria della firma crittografica (CWE-347), potrebbe consentire a un aggressore non autenticato di aggirare l’autenticazione di accesso Single Sign-On (SSO) di FortiCloud.
Quando un amministratore registra un dispositivo su FortiCare tramite l’interfaccia utente grafica (GUI), l’opzione “Consenti accesso amministrativo tramite FortiCloud SSO” è abilitata per impostazione predefinita. A meno che l’amministratore non disattivi esplicitamente questa opzione durante la registrazione, il dispositivo diventa immediatamente vulnerabile a questo bypass.
La scoperta del problema è stata fatta internamente da Theo Leleu e Yonghui Han del team di sicurezza dei prodotti Fortinet, e l’informazione è stata resa pubblica il 9 dicembre 2025. La funzionalità SSO di FortiCloud, costituisce un rischio considerevole soprattutto negli ambienti di rete distribuiti.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
Responsabile del RED Team di una grande azienda di Telecomunicazioni e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali che vanno dal ICT Risk Management all’ingegneria del software alla docenza in master universitari.
Aree di competenza:Bug Hunting, Red Team, Cyber Threat Intelligence, Cyber Warfare e Geopolitica, Divulgazione
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.