🛡️ CVE Digest
Security- en CVE-samenvattingen, gefilterd op mijn stack

Fortinet PSIRT juni 2026: FortiOS CLI-escape, FortiPortal API-lek en FortiAP command injection

9 June 2026 · bron: Fortinet FortiGuard PSIRT · Middel — CVSS 6.0–6.5, deels geauthenticeerd

Naast de kritieke FortiSandbox-kwetsbaarheden publiceerde Fortinet’s FortiGuard PSIRT een reeks middelzware advisories. Los van elkaar minder ernstig, maar samen een goede reden om de patchronde niet uit te stellen.

De advisories

  • FG-IR-26-143 — Restricted CLI escape via Lua (CVSS 6.0, CWE-1244): in FortiOS en FortiProxy kan een geauthenticeerde admin via speciaal gemaakte CLI-commando’s Lua-scripts uitvoeren — een ontsnapping uit de beperkte CLI.
  • FG-IR-26-140 — Improper access control in API endpoints (CVSS 6.2, CWE-284): in de FortiPortal API kan een remote aanvaller met de rol “organization user” gevoelige netwerkconfiguratie ophalen via gemaakte HTTP-requests.
  • FG-IR-26-133 — OS command injection in CLI (CVSS 6.5, CWE-78): in FortiAP en FortiAP-W2 kan een geauthenticeerde aanvaller commando’s uitvoeren via een gemaakt CLI-commando.

Waarom dit relevant is

Deze bugs vereisen authenticatie of een specifieke rol, maar verlagen wél de drempel voor laterale beweging en privilege-escalatie zodra een aanvaller één account of apparaat in handen heeft. Voor beheerde Fortinet-omgevingen horen ze in de reguliere patchcyclus.

Advies

Werk FortiOS, FortiProxy, FortiPortal en FortiAP bij naar de gepatchte releases uit de respectieve PSIRT-advisories. Beperk admin- en API-toegang tot vertrouwde netwerken en hanteer least-privilege voor portal-rollen.

Lees het origineel: https://fortiguard.fortinet.com/psirt/FG-IR-26-143

← terug naar overzicht