Fortinet PSIRT mei 2026: opnieuw CVSS 9.1-bugs, CAPWAP en een hardcoded VPN-sleutel
Een maand na de grote april-ronde volgde in mei 2026 opnieuw een reeks Fortinet-advisories.
Kritiek (CVSS 9.1)
- Improper access control on API endpoints — ontbrekende toegangscontrole op API-endpoints.
- Incorrect global authorization — een globale autorisatiefout waardoor acties worden toegestaan die dat niet zouden mogen.
Hoog / noemenswaardig
- Out-of-bounds access in CAPWAP daemon (8.3) — geheugenfout in de component die access points aanstuurt.
- SQL command injection in administrative portal (6.3) en user-controlled SQL commands (5.1).
- OS command injection in CLI (6.5) en command injection in CLI (6.1).
- DoS via unsafe function in signal handler (5.2).
- Hardcoded Encryption Key Used for VPN Saved Passwords (2.1) — opgeslagen VPN-wachtwoorden zijn met een vaste sleutel versleuteld; laag gescoord, maar principieel zwak.
- OTP-disclosure via exported TokenContentProvider (5.0) op mobiel.
Waarom dit relevant is
De twee 9.1-access-control-bugs zijn het belangrijkst: autorisatiefouten laten een aanvaller handelingen uitvoeren buiten zijn rechten. De hardcoded VPN-sleutel is een goede herinnering dat “versleuteld opgeslagen” niet automatisch “veilig” betekent.
Advies
Patch de getroffen Fortinet-producten naar de gepatchte releases. Roteer VPN-wachtwoorden die onder de hardcoded-sleutel-bug vielen. Houd admin-/API-toegang beperkt tot een beheernetwerk.