
Fin 2025, Fortinet a publié une alerte de sécurité concernant deux vulnérabilités critiques affectant plusieurs de ses produits, dont FortiGate. Référencées CVE-2025-59718 et CVE-2025-59719, ces failles concernent le mécanisme d’authentification FortiCloud SSO et exposent directement les interfaces d’administration des équipements lorsqu’elles sont accessibles à distance.
Ces vulnérabilités ont rapidement attiré l’attention de la communauté sécurité en raison de leur impact élevé et du fait qu’elles peuvent être exploitées sans authentification préalable dans certaines conditions.
Contexte technique
Les deux CVE sont liées à une mauvaise validation des messages SAML utilisés dans le cadre de l’authentification FortiCloud SSO. Lorsque cette fonctionnalité est activée, un équipement Fortinet peut accepter des assertions SAML provenant de FortiCloud afin de permettre l’accès à l’interface d’administration.
Dans les versions vulnérables, des contrôles de sécurité insuffisants permettent à un attaquant distant de contourner le processus d’authentification, ouvrant la voie à un accès administratif non autorisé.
Produits et composants affectés
Selon les avis officiels de Fortinet, les vulnérabilités concernent plusieurs produits reposant sur FortiOS, notamment :
FortiGate (FortiOS)
FortiProxy
FortiSwitchManager
FortiWeb (principalement concerné par CVE-2025-59719)
Le point commun entre ces produits est l’utilisation du module FortiCloud SSO pour l’authentification centralisée.
Impact et scénarios d’attaque
L’exploitation réussie de ces vulnérabilités peut permettre :
un bypass complet de l’authentification,
l’accès à l’interface d’administration web,
la modification de la configuration du firewall,
l’exfiltration de fichiers sensibles (sauvegardes, configurations, clés),
l’établissement d’une persistance sur l’équipement.
Dans un contexte réseau, la compromission d’un firewall périmétrique représente un risque majeur : interception de flux, ouverture de règles malveillantes, ou pivot vers le réseau interne.
Facteurs aggravants
Un point particulièrement sensible est que FortiCloud SSO peut être activé sans être explicitement configuré, notamment lors de l’enregistrement d’un équipement auprès de FortiCare ou FortiCloud. De nombreux environnements se retrouvent ainsi exposés sans que les équipes en aient pleinement conscience.
Lorsque l’interface d’administration est accessible depuis Internet, la surface d’attaque devient immédiate.
Recommandations de sécurité
Appliquer les correctifs Fortinet
Fortinet a publié des versions corrigées pour l’ensemble des produits affectés. La mise à jour vers une version non vulnérable est la mesure prioritaire.
Désactiver FortiCloud SSO si nécessaire
Si la mise à jour immédiate n’est pas possible, il est recommandé de désactiver FortiCloud SSO afin de supprimer le vecteur d’attaque.
Restreindre l’accès à l’administration
Les interfaces GUI et SSH doivent être :
limitées à des adresses IP de confiance,
accessibles uniquement via un réseau de gestion ou un VPN,
jamais exposées directement à Internet sans filtrage strict.
Surveiller les journaux
Une revue attentive des logs d’authentification et des événements système est indispensable pour détecter :
des connexions SSO inhabituelles,
des accès administrateur non planifiés,
des modifications de configuration suspectes.
Positionnement des autorités de cybersécurité
La gravité de CVE-2025-59718 a conduit plusieurs organismes à recommander une correction immédiate. La vulnérabilité a notamment été ajoutée au catalogue des failles activement exploitées par CISA, ce qui souligne son caractère prioritaire dans les environnements critiques.
Conclusion
Les vulnérabilités CVE-2025-59718 et CVE-2025-59719 rappellent une réalité bien connue en sécurité réseau : les mécanismes d’authentification centralisés, s’ils sont mal implémentés ou mal maîtrisés, deviennent des points d’entrée à fort impact.
Pour les environnements utilisant des équipements Fortinet, il est impératif de vérifier l’état de FortiCloud SSO, d’appliquer les correctifs disponibles et de revoir l’exposition des interfaces d’administration. Dans le cas contraire, le firewall, censé être un rempart, peut rapidement devenir le point de compromission principal du système d’information.
Si tu le souhaites, je peux aussi fournir le pack SEO complet, une checklist d’atténuation opérationnelle, ou un article de suivi orienté détection et réponse à incident.



