Fortinet ha revelado dos vulnerabilidades críticas que afectan a FortiSandbox y FortiAuthenticator y que podrían permitir la ejecución remota de código (RCE) sin autenticación en sistemas expuestos.

La primera vulnerabilidad, rastreada como CVE-2026-44277 con una gravedad de 9.1 (Crítica), puede ser explotada a través de peticiones HTTP crafteadas sin requerir autenticación, permitiendo al atacante no autenticado ejecutar código o comandos no autorizados a través de peticiones crafteadas.

Una segunda vulnerabilidad rastreada como CVE-2026-26083 con una gravedad de 9.1 (Crítico) es una vulnerabilidad de autorización faltante en FortiSandbox, FortiSandbox Cloud y FortiSandbox PaaS WEB UI puede permitir a un atacante no autenticado ejecutar código o comandos no autorizados a través de solicitudes HTTP.

Aunque no se ha confirmado ninguna explotación activa hasta el 12 de mayo de 2026, los dispositivos de Fortinet son objetivos frecuentes de grupos de ransomware y actores alineados con el estado, lo que aumenta significativamente la probabilidad de una rápida explotación.

Productos afectados

FortiAuthenticator (IAM)

  • Vulnerable al control de acceso inadecuado
  • CVE: CVE-2026-44277
  • Versiones afectadas:
    • 6.5.0 - 6.5.6
    • 6.6.0 - 6.6.8
    • 8.0.0 - 8.0.2
  • No afectado: FortiAuthenticator Cloud

FortiSandbox (Plataforma de análisis de amenazas)

  • Vulnerable por falta de autorización en Web UI/API
  • CVE: CVE-2026-26083
  • Afectados:
    • FortiSandbox (on-prem)
    • FortiSandbox Cloud
    • FortiSandbox PaaS

Detalles de la vulnerabilidad -

1. CVE-2026-44277 - FortiAuthenticator

  • Tipo: Control de acceso inadecuado (CWE-284)
  • Impacto: Ejecución remota no autenticada de comandos/código
  • Vector de ataque: Peticiones HTTP manipuladas
  • Privilegios requeridos: Ninguno

Contexto de riesgo:
El compromiso de FortiAuthenticator puede socavar:

  • Sistemas MFA
  • Gestión de identidades
  • Cadenas de confianza de autenticación empresarial

Esto puede permitir a los atacantes eludir por completo las protecciones de autenticación y penetrar más profundamente en las redes empresariales.

 

2. CVE-2026-26083 - FortiSandbox

  • Tipo: Falta de autorización (CWE-862)
  • Impacto: RCE no autenticado a través de Web UI/API
  • Vector de ataque: Peticiones HTTP manipuladas
  • Privilegios requeridos: Ninguno

Contexto de riesgo:

FortiSandbox se despliega a menudo como un control de seguridad central. El compromiso podría:

  • Desactivar los canales de detección de malware
  • Manipular los resultados del análisis del sandbox
  • Proporcionar acceso estratégico a información interna sobre amenazas

Mitigación y remediación -

Medidas inmediatas

  • Parche inmediato:
    • FortiAuthenticator → actualizar a:
      • 6.5.7 / 6.6.9 / 8.0.3+
    • FortiSandbox → actualizar a:
      • 5.0.2 / 4.4.9+

Si le preocupa alguna de las amenazas descritas en este boletín o necesita ayuda para determinar qué medidas debe tomar para protegerse de las amenazas más importantes a las que se enfrenta su organización, póngase en contacto con su gestor de cuenta o, alternativamente, póngase en contactopara averiguar cómo puede proteger su organización.

 

Contáctanos