Krytyczna luka w Fortinet FortiSandbox umożliwiająca wykonanie nieautoryzowanego kodu

Krytyczna luka w Fortinet FortiSandbox umożliwia zdalne wykonanie kodu bez autoryzacji. Sprawdź zalecenia i zabezpiecz swoją infrastrukturę.
CVE-2026-26083CVSS 9.8Firewall

Krytyczna luka w Fortinet FortiSandbox umożliwiająca wykonanie nieautoryzowanego kodu

Krytyczna luka w Fortinet FortiSandbox umożliwia zdalne wykonanie kodu bez autoryzacji. Sprawdź zalecenia i zabezpiecz swoją infrastrukturę.

CVSS
9.8 CRITICAL
EPSS
49.94%
Aktywnie wykorzystywana
brak w KEV
Produkt
fortisandbox

Co wiadomo

W Fortinet FortiSandbox w wersjach 4.4.0–4.4.8, 5.0.0–5.0.1 oraz w różnych wersjach FortiSandbox PaaS wykryto lukę braku autoryzacji. Pozwala ona atakującemu bez uwierzytelnienia wykonać nieautoryzowane polecenia poprzez żądania HTTP.

Wpływ biznesowy

Luka o wysokim poziomie krytyczności (CVSS 9.8) może prowadzić do przejęcia kontroli nad systemem FortiSandbox, co zagraża bezpieczeństwu sieci i danych. Operatorzy infrastruktury powinni traktować tę podatność priorytetowo, gdyż umożliwia ona zdalne wykonanie kodu bez konieczności uwierzytelniania, co może skutkować poważnymi incydentami bezpieczeństwa.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji i łatek od producenta Fortinet dla dotkniętych wersji FortiSandbox i FortiSandbox PaaS. W międzyczasie ogranicz ekspozycję urządzeń na dostęp z sieci publicznej, monitoruj logi pod kątem podejrzanych żądań HTTP oraz weryfikuj konfigurację kontroli dostępu, aby zminimalizować ryzyko wykorzystania luki.

Źródła

Alerty bezpieczeństwa

Dostawaj alerty CVE zanim staną się incydentem

Wysyłamy wybrane zagrożenia infrastrukturalne po polsku, z praktycznym komentarzem dla środowisk DataHouse.

  • DataHouse: administracja serwerów i bezpieczna chmura
  • Hostilla.pl: hosting i usługi pocztowe
  • SecDNS.pl: bezpłatna warstwa bezpieczeństwa DNS