Fortinet hat zwei kritische Schwachstellen in FortiSandbox und FortiAuthenticator bekannt gegeben, die eine unauthentifizierte Remotecodeausführung (RCE) auf ungeschützten Systemen ermöglichen könnten.

Die Schwachstelle CVE-2026-44277 mit dem Schweregrad 9.1 (kritisch) kann über manipulierte HTTP-Anfragen ausgenutzt werden, ohne dass eine Authentifizierung erforderlich ist, so dass ein nicht authentifizierter Angreifer über manipulierte Anfragen nicht autorisierten Code oder Befehle ausführen kann.

Eine zweite Schwachstelle, die als CVE-2026-26083 mit dem Schweregrad 9.1 (kritisch) verfolgt wird, ist eine fehlende Autorisierungsschwachstelle in FortiSandbox, FortiSandbox Cloud und FortiSandbox PaaS WEB UI, die es einem nicht authentifizierten Angreifer ermöglichen kann, nicht autorisierten Code oder Befehle über HTTP-Anfragen auszuführen.

Obwohl bis zum 12. Mai 2026 keine aktive Ausnutzung bestätigt wurde, sind Fortinet-Appliances häufige Ziele von Ransomware-Gruppen und staatlich orientierten Akteuren, was die Wahrscheinlichkeit einer schnellen Bewaffnung deutlich erhöht.

Betroffene Produkte -

FortiAuthenticator (IAM)

• Anfällig für unsachgemäße Zugriffskontrolle
• CVE: CVE-2026-44277
• Betroffene Versionen:
  • 6.5.0 - 6.5.6
  • 6.6.0 - 6.6.8
  • 8.0.0 - 8.0.2
• Nicht betroffen: FortiAuthenticator Cloud

FortiSandbox (Bedrohungsanalyse-Plattform)

• Anfällig für fehlende Autorisierung in Web UI/API
• CVE: CVE-2026-26083
• Betroffen:
  • FortiSandbox (vor Ort)
  • FortiSandbox Cloud
  • FortiSandbox PaaS

Details zur Schwachstelle -

1. CVE-2026-44277 - FortiAuthenticator

• Typ: Unzulässige Zugriffskontrolle (CWE-284)
• Auswirkungen: Unauthentifizierte Remote-Befehls-/Codeausführung
• Angriffsvektor: Gefälschte HTTP-Anfragen
• Erforderliche Berechtigungen: Keine
  

Risikokontext:
Die Kompromittierung von FortiAuthenticator kann Folgendes untergraben:

• MFA-Systeme
• Identitätsmanagement
• Vertrauensketten der Unternehmensauthentifizierung

Dies kann es Angreifern ermöglichen, den Authentifizierungsschutz vollständig zu umgehen und tiefer in Unternehmensnetzwerke einzudringen.

2. CVE-2026-26083 - FortiSandbox

• Typ: Fehlende Autorisierung (CWE-862)
• Auswirkungen: Unauthentifizierter RCE über Web UI/API
• Angriffsvektor: Gefälschte HTTP-Anfragen
• Erforderliche Privilegien: Keine

Risikokontext:

FortiSandbox wird häufig als zentrale Sicherheitskontrolle eingesetzt. Eine Kompromittierung könnte:

• Malware-Erkennungspipelines deaktivieren
• Manipulation der Sandbox-Analyseergebnisse
• Strategischen Zugriff auf interne Bedrohungsdaten gewähren

Schadensbegrenzung und Abhilfe -

Sofortige Maßnahmen

• Sofortiger Patch:
  • FortiAuthenticator → Upgrade auf:
    • 6.5.7 / 6.6.9 / 8.0.3+
  • FortiSandbox → Upgrade auf:
    • 5.0.2 / 4.4.9+

Wenn Sie sich über eine der in diesem Bulletin beschriebenen Bedrohungen Sorgen machen oder Hilfe benötigen, um herauszufinden, welche Schritte Sie unternehmen sollten, um sich vor den wichtigsten Bedrohungen für Ihr Unternehmen zu schützen, wenden Sie sich bitte an Ihren Kundenbetreuer oder setzen Sie sich mit uns in Verbindung, um zu erfahren, wie Sie Ihr Unternehmen schützen können.