Fortinet har avslöjat två kritiska sårbarheter som påverkar FortiSandbox och FortiAuthenticator som kan möjliggöra oautentiserad fjärrkodkörning (RCE) på exponerade system.

Spåras som CVE-2026-44277 med en svårighetsgrad på 9.1 (Critical) kan utnyttjas via utformade HTTP-förfrågningar utan att kräva autentisering, vilket gör det möjligt för den obehöriga angriparen att köra obehörig kod eller kommandon via utformade förfrågningar.

En andra sårbarhet som spåras som CVE-2026-26083 med en allvarlighetsgrad på 9.1 (kritisk) är en sårbarhet som saknar auktorisering i FortiSandbox, FortiSandbox Cloud och FortiSandbox PaaS WEB UI kan göra det möjligt för en obehörig angripare att utföra obehörig kod eller kommandon via HTTP-förfrågningar.

Även om ingen aktiv exploatering har bekräftats per den 12 maj 2026, är Fortinet-apparater ofta mål för ransomware-grupper och statsallierade aktörer, vilket avsevärt ökar sannolikheten för snabb vapenisering.

Berörda produkter -

FortiAuthenticator (IAM)

• Sårbar för felaktig åtkomstkontroll
• CVE : CVE-2026-44277
• Berörda versioner:
  • 6.5.0 - 6.5.6
  • 6.6.0 - 6.6.8
  • 8.0.0 - 8.0.2
• Påverkas inte: FortiAuthenticator Cloud

FortiSandbox (plattform för hotanalys)

• Sårbar på grund av saknad auktorisering i webbgränssnitt/API
• CVE: CVE-2026-26083
• Påverkad av:
  • FortiSandbox (lokalt)
  • FortiSandbox moln
  • FortiSandbox PaaS

Sårbarhetsdetaljer

1. CVE-2026-44277 - FortiAuthenticator

• Typ: Otillbörlig åtkomstkontroll (CWE-284)
• Påverkan: Icke-autentiserat fjärrkommando/kodkörning
• Vektor för attack: Utformade HTTP-förfrågningar
• Privilegier som krävs: Inga
  

Riskkontext:
Kompromiss av FortiAuthenticator kan undergräva:

• MFA-system
• Identitetshantering
• Förtroendekedjor för företagsautentisering

Detta kan göra det möjligt för angripare att kringgå autentiseringsskydd helt och hållet och ta sig djupare in i företagsnätverk.

2. CVE-2026-26083 - FortiSandbox

• Typ av fel: Saknar auktorisering (CWE-862)
• Påverkan: Oidentifierad RCE via webbgränssnitt/API
• Vektor för attack: Utformade HTTP-förfrågningar
• Privilegier som krävs: Inga

Riskkontext:

FortiSandbox distribueras ofta som en central säkerhetskontroll. Kompromiss skulle kunna:

• Inaktivera pipelines för upptäckt av skadlig programvara
• Manipulera sandlådans analysresultat
• Ge strategisk tillgång till intern hotinformation

Begränsning och avhjälpande

Omedelbara åtgärder

• Patch omedelbart:
  • FortiAuthenticator → uppgradera till:
    • 6.5.7 / 6.6.9 / 8.0.3+
  • FortiSandbox → uppgradera till:
    • 5.0.2 / 4.4.9+

Om du är orolig för något av de hot som beskrivs i denna bulletin eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten mot din organisation, vänligen kontakta din kontoansvarige, eller alternativt kontakta oss förattta redapå hur du kan skydda din organisation.