🛡️ CVE Digest
Security- en CVE-samenvattingen, gefilterd op mijn stack

Fortinet FortiSandbox: kritieke unauthenticated command injection (CVSS 9.1)

9 June 2026 · bron: Fortinet FortiGuard PSIRT · Kritiek — CVSS 9.1, unauthenticated remote command execution

Fortinet’s FortiGuard PSIRT heeft twee kritieke kwetsbaarheden (beide CVSS 9.1) in FortiSandbox gepubliceerd — inclusief de Cloud- en PaaS-varianten. Beide laten een niet-geauthenticeerde aanvaller op afstand code of commando’s uitvoeren.

De twee bugs

  • FG-IR-26-141 — Second-Order OS Command Injection (CWE-78): via JSON-input op de “start vnc”-functie in de FortiSandbox WEB UI kan een unauthenticated aanvaller ongeautoriseerde OS-commando’s uitvoeren met speciaal gemaakte HTTP-requests.
  • FG-IR-26-136 — Incorrect global authorization / missing authorization (CWE-862): een ontbrekende autorisatiecontrole in dezelfde WEB UI laat een unauthenticated aanvaller code of commando’s uitvoeren via HTTP-requests.

Een unauthenticated command execution op een security-appliance is zo ernstig als het klinkt: de sandbox die verdachte bestanden analyseert wordt zelf het startpunt van een aanval.

Waarom dit relevant is

Fortinet-appliances (FortiGate, FortiSandbox, FortiManager) staan vaak aan de rand van het netwerk en worden actief gescand door aanvallers. Kritieke, unauthenticated Fortinet-bugs worden historisch snel misbruikt.

Advies

  • Werk FortiSandbox direct bij naar een gepatchte versie (zie de PSIRT-advisory voor de exacte fixed releases).
  • Beperk de bereikbaarheid van de management-/WEB-UI tot een beheernetwerk; stel die nooit direct aan het internet bloot.
  • Controleer de logs op onverwachte HTTP-requests naar de VNC-/API-endpoints.

Lees het origineel: https://fortiguard.fortinet.com/psirt/FG-IR-26-141

← terug naar overzicht