Fortinet PSIRT april 2026: grote patchronde met drie keer CVSS 9.1
April 2026 was een drukke maand voor Fortinet’s FortiGuard PSIRT: ruim 25 advisories in één golf (14 april, plus een API-bypass op 4 april). Een overzicht van wat eruit springt.
Kritiek (CVSS 9.1)
- Unauthenticated Authentication bypass en Privilege escalation in FortiSandbox — een niet-geauthenticeerde aanvaller kan authenticatie omzeilen én rechten verhogen.
- OS Command Injection through API endpoint — commando-uitvoering via een API-endpoint.
- API authentication and authorization bypass (4 april) — volledige omzeiling van API-authenticatie en -autorisatie.
Drie keer CVSS 9.1, waarvan minstens één unauthenticated op een security-appliance — dit zijn precies de bugs die aanvallers snel oppakken.
Verder in dezelfde golf (selectie)
- Out-of-bounds access in CAPWAP daemon (8.3) en Missing Authentication for critical function in CAPWAP daemon (6.2) — CAPWAP stuurt de communicatie met access points aan.
- Heap-based buffer overflow in oftpd daemon (7.3).
- Meerdere SQL Injections (7.9 / 7.1 / 6.8 / 6.3), path traversals in CLI en connectoren, stored/reflected XSS, SSRF via report-templates, en diverse cleartext-credential-lekken (LDAP-config, API-responses).
- 2FA replay: een 2FA-verzoek kan na één succesvolle aanvraag opnieuw worden afgespeeld.
Waarom dit relevant is
Fortinet-appliances staan aan de netwerkrand en zijn een geliefd doelwit. Zeker de unauthenticated 9.1-bugs verdienen directe aandacht.
Advies
Werk alle getroffen Fortinet-producten (o.a. FortiSandbox, FortiWeb/portal-componenten, FortiManager/FortiAnalyzer) bij naar de gepatchte releases uit de betreffende FG-IR-advisories. Beperk management- en API-toegang tot een beheernetwerk en controleer de logs op verdachte API-aanroepen.