Podsumowanie
Fortinet opublikował 14 kwietnia 2026 roku serię alertów bezpieczeństwa (PSIRT) obejmujących cztery podatności w produktach FortiSandbox, FortiDDoS-F oraz FortiAnalyzer Cloud. Dwie z nich zostały sklasyfikowane jako krytyczne (CVSS 9.1), a dwie jako wysokie (CVSS 7.3–7.9).
Podatności mogą umożliwić atakującym zdalne wykonanie kodu, obejście uwierzytelniania, eskalację uprawnień oraz manipulację danymi.
CVE-2026-39808 – OS Command Injection w FortiSandbox (Krytyczna)
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-39808 |
| Advisory | FG-IR-26-100 |
| Severity | Krytyczna |
| CVSS Score | 9.1 |
| CWE | CWE-78 (OS Command Injection) |
| Wektor ataku | Sieciowy, bez uwierzytelniania |
Opis
Nieprawidłowa neutralizacja elementów specjalnych w komendach systemu operacyjnego w endpointach API FortiSandbox umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnego kodu poprzez spreparowane żądania HTTP.
Dotknięte wersje
| Produkt | Dotknięte wersje | Wersja naprawiona |
|---|---|---|
| FortiSandbox 4.4 | 4.4.0 – 4.4.8 | 4.4.9 lub nowsza |
FortiSandbox 5.0 i FortiSandbox PaaS 5.0 nie są dotknięte tą podatnością.
CVE-2026-39813 – Authentication Bypass i Privilege Escalation w FortiSandbox (Krytyczna)
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-39813 |
| Advisory | FG-IR-26-112 |
| Severity | Krytyczna |
| CVSS Score | 9.1 |
| CWE | CWE-24 (Path Traversal) |
| Wektor ataku | Sieciowy, bez uwierzytelniania |
Opis
Podatność typu path traversal w API JRPC FortiSandbox pozwala nieuwierzytelnionemu atakującemu obejść mechanizm uwierzytelniania i uzyskać eskalację uprawnień poprzez spreparowane żądania HTTP.
Dotknięte wersje
| Produkt | Dotknięte wersje | Wersja naprawiona |
|---|---|---|
| FortiSandbox 5.0 | 5.0.0 – 5.0.5 | 5.0.6 lub nowsza |
| FortiSandbox 4.4 | 4.4.0 – 4.4.8 | 4.4.9 lub nowsza |
CVE-2026-39815 – SQL Injection w FortiDDoS-F (Wysoka)
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-39815 |
| Advisory | FG-IR-26-119 |
| Severity | Wysoka |
| CVSS Score | 7.9 |
| CWE | CWE-89 (SQL Injection) |
| Wektor ataku | Sieciowy, wymaga uwierzytelniania |
Opis
Podatność SQL injection w API FortiDDoS-F umożliwia uwierzytelnionemu atakującemu wykonanie dowolnych zapytań SQL na bazie danych poprzez spreparowane żądania HTTP, co może prowadzić do manipulacji danymi i wykonania nieautoryzowanego kodu.
Dotknięte wersje
| Produkt | Dotknięte wersje | Wersja naprawiona |
|---|---|---|
| FortiDDoS-F 7.2 | 7.2.1 – 7.2.2 | 7.2.3 lub nowsza |
Wersje FortiDDoS-F 7.0, 6.6, 6.5, 6.4 i 6.3 nie są dotknięte.
CVE-2026-22828 – Heap-based Buffer Overflow w FortiAnalyzer Cloud (Wysoka)
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-22828 |
| Advisory | FG-IR-26-121 |
| Severity | Wysoka |
| CVSS Score | 7.3 |
| CWE | CWE-122 (Heap-based Buffer Overflow) |
| Wektor ataku | Sieciowy, bez uwierzytelniania (wysoka złożoność) |
Opis
Podatność typu heap-based buffer overflow w demonie oftpd umożliwia zdalnemu nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu poprzez spreparowane żądania. Eksploatacja jest utrudniona przez ochronę ASLR i wymaga dostępu do innego komponentu chmurowego w tej samej instancji.
Dotknięte wersje
| Produkt | Dotknięte wersje | Wersja naprawiona |
|---|---|---|
| FortiAnalyzer Cloud 7.6 | 7.6.2 – 7.6.4 | 7.6.5 lub nowsza |
| FortiManager Cloud 7.6 | 7.6.2 – 7.6.4 | 7.6.5 lub nowsza |
Wymagane działania
Administratorzy powinni niezwłocznie zaktualizować dotknięte produkty do najnowszych wersji wskazanych przez producenta:
- FortiSandbox 4.4 → aktualizacja do 4.4.9 lub nowszej
- FortiSandbox 5.0 → aktualizacja do 5.0.6 lub nowszej
- FortiDDoS-F 7.2 → aktualizacja do 7.2.3 lub nowszej
- FortiAnalyzer Cloud 7.6 → aktualizacja do 7.6.5 lub nowszej
- FortiManager Cloud 7.6 → aktualizacja do 7.6.5 lub nowszej
Kogo dotyczy?
Podatności dotyczą organizacji korzystających z produktów Fortinet do ochrony sieci, analizy zagrożeń i zarządzania bezpieczeństwem. W szczególności zagrożone są środowiska, w których FortiSandbox jest dostępny z sieci zewnętrznej.
Źródła
- Fortinet PSIRT - FG-IR-26-100 (CVE-2026-39808)
- Fortinet PSIRT - FG-IR-26-112 (CVE-2026-39813)
- Fortinet PSIRT - FG-IR-26-119 (CVE-2026-39815)
- Fortinet PSIRT - FG-IR-26-121 (CVE-2026-22828)
- NVD - CVE-2026-39808
- NVD - CVE-2026-39813
- NVD - CVE-2026-39815
- NVD - CVE-2026-22828
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
