Fortinet a révélé deux vulnérabilités critiques affectant FortiSandbox et FortiAuthenticator qui pourraient permettre l'exécution de code à distance non authentifié (RCE) sur les systèmes exposés.

La vulnérabilité CVE-2026-44277 avec une gravité de 9.1 (Critique) peut être exploitée via des requêtes HTTP élaborées sans nécessiter d'authentification, permettant à un attaquant non authentifié d'exécuter du code ou des commandes non autorisés via des requêtes élaborées.

Une seconde vulnérabilité suivie comme CVE-2026-26083 avec une sévérité de 9.1 (Critique) est une vulnérabilité d'autorisation manquante dans FortiSandbox, FortiSandbox Cloud et FortiSandbox PaaS WEB UI peut permettre à un attaquant non authentifié d'exécuter du code ou des commandes non autorisées via des requêtes HTTP.

Bien qu'aucune exploitation active n'ait été confirmée au 12 mai 2026, les appliances Fortinet sont des cibles fréquentes des groupes de ransomware et des acteurs alignés sur l'État, ce qui augmente considérablement la probabilité d'une militarisation rapide.

Produits affectés -

FortiAuthenticator (IAM)

• Vulnérable à un contrôle d'accès inapproprié
• CVE : CVE-2026-44277
• Versions affectées :
  • 6.5.0 - 6.5.6
  • 6.6.0 - 6.6.8
  • 8.0.0 - 8.0.2
• Non affecté : FortiAuthenticator Cloud

FortiSandbox (plateforme d'analyse des menaces)

• Vulnérabilité due à l'absence d'autorisation dans l'interface utilisateur Web/API
• CVE : CVE-2026-26083
• Affecté :
  • FortiSandbox (sur site)
  • FortiSandbox Cloud
  • FortiSandbox PaaS

Détails de la vulnérabilité -

1. CVE-2026-44277 - FortiAuthenticator

• Type : Contrôle d'accès incorrect (CWE-284)
• Impact : Exécution de commande/code à distance non authentifiée
• Vecteur d'attaque : Requêtes HTTP élaborées
• Privilèges requis : Aucun
  

Contexte du risque :
La compromission du FortiAuthenticator peut compromettre :

• Systèmes MFA
• la gestion des identités
• Chaînes de confiance d'authentification d'entreprise

Cela peut permettre aux attaquants de contourner entièrement les protections d'authentification et de pénétrer plus profondément dans les réseaux d'entreprise.

2. CVE-2026-26083 - FortiSandbox

• Type : Autorisation manquante (CWE-862)
• Impact : RCE non authentifié via Web UI/API
• Vecteur d'attaque : Requêtes HTTP élaborées
• Privilèges requis : Aucun

Contexte du risque :

La FortiSandbox est souvent déployée en tant que contrôle de sécurité de base. La compromission pourrait :

• Désactiver les pipelines de détection de logiciels malveillants
• Manipuler les résultats de l'analyse du bac à sable
• Fournir un accès stratégique aux renseignements sur les menaces internes

Atténuation et remédiation

Actions immédiates

• Correctif immédiat :
  • FortiAuthenticator → mise à niveau vers :
    • 6.5.7 / 6.6.9 / 8.0.3+
  • FortiSandbox → mise à jour vers :
    • 5.0.2 / 4.4.9+

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger contre les menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte, ou contactez-nouspour savoir comment vous pouvez protéger votre organisation.