Вразливість Cross-site Scripting у Fortinet FortiSandbox

Висококритична XSS вразливість у Fortinet FortiSandbox дозволяє неавторизоване виконання команд. Рекомендується оновлення та обмеження доступу.
CVE-2025-52436CVSS 8.8Firewall

Вразливість Cross-site Scripting у Fortinet FortiSandbox

Висококритична XSS вразливість у Fortinet FortiSandbox дозволяє неавторизоване виконання команд. Рекомендується оновлення та обмеження доступу.

CVSS
8.8 HIGH
EPSS
93.72%
Активно використовується
немає в KEV
Продукт
fortisandbox

Що відомо

Виявлено вразливість типу Cross-site Scripting (CWE-79) у Fortinet FortiSandbox версій 4.0 до 5.0.1, що може дозволити неавторизованому зловмиснику виконувати команди через спеціально сформовані запити. Ця проблема стосується кількох версій продукту, включно з 4.0, 4.2, 4.4 та 5.0.

Бізнес-вплив

Вразливість з високим рівнем критичності (CVSS 8.8) може призвести до компрометації системи без необхідності автентифікації, що створює ризик несанкціонованого виконання команд і потенційного порушення безпеки мережевої інфраструктури. Це може вплинути на стабільність і безпеку мережевого захисту підприємства.

Рекомендовані дії адміністратора

Рекомендується негайно перевірити наявність оновлень або патчів від Fortinet для FortiSandbox і застосувати їх. Якщо оновлення недоступні, слід обмежити доступ до інтерфейсу FortiSandbox, провести аудит логів на предмет підозрілої активності та впровадити додаткові заходи безпеки для зменшення ризику експлуатації вразливості.

Джерела

Безпекові сповіщення

Отримуйте CVE-сповіщення до того, як вони стануть інцидентом

Надсилаємо вибрані інфраструктурні загрози українською з практичними нотатками для середовищ DataHouse.

  • DataHouse: адміністрування серверів і безпечна хмара
  • Hostilla.pl: хостинг і поштові послуги
  • SecDNS.pl: безплатний рівень DNS-безпеки