CVE-2026-25089: Уразливість командної ін’єкції в Fortinet FortiSandbox

Критична уразливість командної ін’єкції в Fortinet FortiSandbox дозволяє неавторизоване виконання команд через HTTP-запити. Рекомендується перевірити оновлення.
CVE-2026-25089CVSS 9.8Firewall

CVE-2026-25089: Уразливість командної ін’єкції в Fortinet FortiSandbox

Критична уразливість командної ін’єкції в Fortinet FortiSandbox дозволяє неавторизоване виконання команд через HTTP-запити. Рекомендується перевірити оновлення.

CVSS
9.8 CRITICAL
EPSS
97.51%
Активно використовується
немає в KEV
Продукт
fortisandbox

Що відомо

Виявлено критичну уразливість командної ін’єкції в Fortinet FortiSandbox версій 4.2, 4.4.0-4.4.8, 5.0.0-5.0.5, а також у FortiSandbox Cloud та PaaS 5.0.4-5.0.5. Уразливість дозволяє неавторизованому зловмиснику виконувати довільні команди через спеціально сформовані HTTP-запити.

Бізнес-вплив

Ця уразливість з високим рівнем критичності (CVSS 9.8) може призвести до повного компрометації системи FortiSandbox, що впливає на безпеку мережевого захисту та аналізу загроз. Власники інфраструктури ризикують втратити контроль над пристроями та конфіденційність даних, що може спричинити значні операційні та репутаційні збитки.

Рекомендовані дії адміністратора

Рекомендується негайно перевірити наявність оновлень та патчів від Fortinet для FortiSandbox відповідних версій. Якщо оновлення недоступні, слід обмежити доступ до сервісу, ретельно аналізувати журнали подій на ознаки експлуатації та пріоритезувати виправлення цієї уразливості у планах безпеки.

Джерела