Kritické zraniteľnosti vo Fortinet FortiAuthenticator a FortiSandbox umožňujú vzdialené vykonanie kódu

Spoločnosť Fortinet vydala bezpečnostné aktualizácie, ktoré opravujú dve kritické zraniteľnosti v platformách FortiSandbox a FortiAuthenticator umožňujúce spúšťať príkazy alebo ľubovoľný kód na neopravených systémoch.

Zraniteľné systémy:

• FortiAuthenticator 8.0.0, 8.0.2
• FortiAuthenticator 6.6.0 až 6.6.8
• FortiAuthenticator 6.5.0 až 6.5.6
• FortiSandbox 5.0.0 až 5.0.1
• FortiSandbox 4.4.0 až 4.4.8
• FortiSandbox Cloud 24 všetky verzie     
• FortiSandbox Cloud 23 všetky verzie     
• FortiSandbox Cloud 5.0.2 až 5.0.5           
• FortiSandbox PaaS 23.4 všetky verzie
• FortiSandbox PaaS 23.3 všetky verzie
• FortiSandbox PaaS 23.1 všetky verzie
• FortiSandbox PaaS 22.2 všetky verzie
• FortiSandbox PaaS 22.1 všetky verzie
• FortiSandbox PaaS 21.4 všetky verzie
• FortiSandbox PaaS 21.3 všetky verzie
• FortiSandbox PaaS 5.0.0 až 5.0.1             
• FortiSandbox PaaS 4.4.5 až 4.4.8             

Opis zraniteľností:

CVE-2026-44277 (CVSS skóre 9,1)

Kritická zraniteľnosť s označením CVE-2026-44277 sa nachádza v aplikácii FortiAuthenticator a vzniká v dôsledku nedostatočnej kontroly prístupu na rozhraniach API. Zraniteľnosť umožňuje neautentifikovanému útočníkovi pomocou špeciálne vytvorených požiadaviek získať schopnosť vzdialene vykonávať kód alebo príkazy na zraniteľnom zariadení.

CVE-2026-26083 (CVSS skóre 9,1)

Kritická zraniteľnosť CVE-2026-26083 sa nachádza vo FortiSandbox, FortiSandbox Cloud a FortiSandbox PaaS WEB UI.  Chyba zabezpečenia súvisí s chýbajúcou autorizáciou. Neautentifikovanému útočníkovi umožňuje vykonávať ľubovoľný kód alebo príkazy prostredníctvom špeciálne vytvorených HTTP požiadaviek.

Možné škody:

• Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia aspoň na verzie:

• FortiAuthenticator 8.0.3
• FortiAuthenticator 6.6.9
• FortiAuthenticator 6.5.7
• FortiSandbox 5.0.2
• FortiSandbox 4.4.9
• FortiSandbox Cloud 5.0.6            
• FortiSandbox PaaS 5.0.2              
• FortiSandbox PaaS 4.4.9

Mitigovať CVE-2026-44277 môžete zakázaním prístupu k API v nastaveniach Network -> Interfaces -> Access Rights.

Zdroje:

• https://www.bleepingcomputer.com/news/security/fortinet-warns-of-critical-rce-flaws-in-fortisandbox-and-fortiauthenticator/
• https://www.fortiguard.com/psirt/FG-IR-26-128
• https://www.fortiguard.com/psirt/FG-IR-26-136