Krytyczne podatności w Fortinet
W ostatnim czasie zidentyfikowano dwie krytyczne podatności w rozwiązaniach firmy Fortinet, które mogą umożliwić zdalne wykonanie nieautoryzowanego kodu bez konieczności uwierzytelnienia. Ze względu na bardzo wysoki poziom ryzyka (CVSS 9,8) oraz szeroki zakres podatnych systemów, luki te stanowią istotne zagrożenie dla bezpieczeństwa infrastruktury IT i wymagają niezwłocznych działań ze strony administratorów.
Charakterystyka podatności CVE-2026-26083
CVSS 3.1:9,8 (Critical)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Jak działa podatność
Luka autoryzacji w podatnych systemach, może umożliwić nieuwierzytelnionemu atakującemu wykonywanie nieautoryzowanego kodu lub poleceń za pomocą żądań HTTP:
- system nie sprawdza poprawnie uprawnień użytkownika,
- niektóre funkcje są dostępne bez logowania lub bez weryfikacji.
Podatne systemy
- FortiSandbox:
- od 5.0.0 do 5.0.1 włącznie,
- od 4.4.0 do 4.4.8 włącznie.
- FortiSandbox Cloud:
- od 5.0.2 do 5.0.5
- FortiSandbox PaaS:
- 23.4 wszystkie wersje,
- 23.3 wszystkie wersje,
- 23.1 wszystkie wersje,
- 22.2 wszystkie wersje,
- 22.1 wszystkie wersje,
- 21.4 wszystkie wersje,
- 21.3 wszystkie wersje,
- od 5.0.0 do 5.0.1 włącznie,
- od 4.4.5 do– 4.4.8 włącznie.
Rekomendowane działania
Aktualizacja zgodnie z zalecaniem producenta.
Charakterystyka podatności CVE-2026-44277
- CVSS 3.1:9,8(Critical)
- CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Jak działa podatność
W systemie występuje błąd kontroli dostępu (Improper Access Control).
W praktyce:
- system niewłaściwie weryfikuje, kto ma dostęp do określonych funkcji lub zasobów,
- atakujący może ominąć zabezpieczenia (uruchamiać nieautoryzowany kod, wykonywać polecenia w systemie).
Podatne systemy
- FortiAuthenticator w wersjach:
- -8.0.2,
- -8.0.0,
- -od 6.6.0 do 6.6.8 włącznie,
- -od 6.5.0 do 6.5.6 włącznie.
Rekomendowane działania
Aktualizacja zgodnie z zalecaniem producenta.