CVE-2026-25089: Уразливість командної ін’єкції в Fortinet FortiSandbox
Критична уразливість командної ін’єкції в Fortinet FortiSandbox дозволяє неавторизоване виконання команд через HTTP-запити. Рекомендується перевірити оновлення.
- CVSS
- 9.8 CRITICAL
- EPSS
- 97.51%
- Активно використовується
- немає в KEV
- Продукт
- fortisandbox
Що відомо
Виявлено критичну уразливість командної ін’єкції в Fortinet FortiSandbox версій 4.2, 4.4.0-4.4.8, 5.0.0-5.0.5, а також у FortiSandbox Cloud та PaaS 5.0.4-5.0.5. Уразливість дозволяє неавторизованому зловмиснику виконувати довільні команди через спеціально сформовані HTTP-запити.
Бізнес-вплив
Ця уразливість з високим рівнем критичності (CVSS 9.8) може призвести до повного компрометації системи FortiSandbox, що впливає на безпеку мережевого захисту та аналізу загроз. Власники інфраструктури ризикують втратити контроль над пристроями та конфіденційність даних, що може спричинити значні операційні та репутаційні збитки.
Рекомендовані дії адміністратора
Рекомендується негайно перевірити наявність оновлень та патчів від Fortinet для FortiSandbox відповідних версій. Якщо оновлення недоступні, слід обмежити доступ до сервісу, ретельно аналізувати журнали подій на ознаки експлуатації та пріоритезувати виправлення цієї уразливості у планах безпеки.