Fortinet ha reso note due vulnerabilità critiche che riguardano FortiSandbox e FortiAuthenticator e che potrebbero consentire l'esecuzione di codice remoto (RCE) non autenticato sui sistemi esposti.

La vulnerabilità CVE-2026-44277, classificata come CVE-2026-44277 con una gravità di 9.1 (critica), può essere sfruttata tramite richieste HTTP di tipo artigianale senza richiedere l'autenticazione, consentendo all'aggressore non autenticato di eseguire codice o comandi non autorizzati tramite richieste di tipo artigianale.

Una seconda vulnerabilità, classificata come CVE-2026-26083 e con una gravità di 9,1 (critica), è una vulnerabilità di autorizzazione mancante in FortiSandbox, FortiSandbox Cloud e FortiSandbox PaaS WEB UI che può consentire a un utente non autenticato di eseguire codice o comandi non autorizzati tramite richieste HTTP.

Sebbene non sia stato confermato alcuno sfruttamento attivo al 12 maggio 2026, le appliance Fortinet sono bersaglio frequente di gruppi di ransomware e di attori allineati allo stato, aumentando significativamente la probabilità di un rapido armamento.

Prodotti interessati -

FortiAuthenticator (IAM)

• Vulnerabile al controllo improprio degli accessi
• CVE: CVE-2026-44277
• Versioni interessate:
  • 6.5.0 - 6.5.6
  • 6.6.0 - 6.6.8
  • 8.0.0 - 8.0.2
• Non interessato: FortiAuthenticator Cloud

FortiSandbox (piattaforma di analisi delle minacce)

• Vulnerabile per l'autorizzazione mancante nell'interfaccia utente/API Web
• CVE: CVE-2026-26083
• Colpito:
  • FortiSandbox (on-prem)
  • FortiSandbox Cloud
  • FortiSandbox PaaS

Dettagli della vulnerabilità

1. CVE-2026-44277 - FortiAuthenticator

• Tipo: Controllo degli accessi non corretto (CWE-284)
• Impatto: Esecuzione di comandi/codici remoti non autenticati
• Vettore di attacco: Richieste HTTP modificate
• Privilegi richiesti: Nessuno
  

Contesto di rischio:
La compromissione di FortiAuthenticator può compromettere:

• Sistemi MFA
• Gestione dell'identità
• Catene di fiducia dell'autenticazione aziendale

Ciò può consentire agli aggressori di aggirare completamente le protezioni di autenticazione e di penetrare più a fondo nelle reti aziendali.

2. CVE-2026-26083 - FortiSandbox

• Tipo: Autorizzazione mancante (CWE-862)
• Impatto: RCE non autenticato tramite Web UI/API
• Vettore di attacco: Richieste HTTP modificate
• Privilegi richiesti: Nessuno

Contesto di rischio:

FortiSandbox viene spesso distribuito come controllo di sicurezza principale. La compromissione potrebbe:

• Disattivare le pipeline di rilevamento del malware
• Manipolare i risultati dell'analisi di Sandbox
• Fornire un accesso strategico alle informazioni sulle minacce interne

Mitigazione e riparazione

Azioni immediate

• Applicare immediatamente la patch:
  • FortiAuthenticator → aggiornare a:
    • 6.5.7 / 6.6.9 / 8.0.3+
  • FortiSandbox → aggiornamento a:
    • 5.0.2 / 4.4.9+

Se siete preoccupati per una qualsiasi delle minacce descritte in questo bollettino o se avete bisogno di aiuto per determinare le misure da adottare per proteggervi dalle minacce più importanti per la vostra organizzazione, contattate il vostro account manager o, in alternativa, contattateciper scoprire come potete proteggere la vostra organizzazione.