Múltiples vulnerabilidades en productos de Fortinet
- FortiAuthenticator:
- Versiones desde 8.0.0 hasta 8.0.2;
- Versiones desde 6.6.0 hasta 6.6.8;
- Versiones desde 6.5.0 hasta 6.5.6.
- FortiSandbox:
- Versiones desde 5.0.0 hasta 5.0.1;
- Versiones desde 4.4.0 hasta 4.4.8.
- FortiSandbox Cloud:
- Todas las versiones 23 y 24;
- Versiones desde 5.0.2 hasta 5.0.5.
- FortiSandbox PaaS:
- Todas las versiones 23.4, 23.3, 23.1, 22.2, 22.1 y 21.4;
- Versiones desde 5.0.0 hasta 5.0.1;
- Versiones desde 4.45 hasta 4.4.8.
Fortinet ha informado sobre múltiples vulnerabilidades críticas en FortiAuthenticator y FortiSandbox. Estas vulnerabilidades podrían permitir a un atacante remoto no autenticado ejecutar código o comandos no autorizados mediante solicitudes HTTP especialmente diseñadas.
El fabricante recomienda actualizar a las siguientes versiones corregidas:
- FortiAuthenticator:
- Actualizar a la versión 8.0.3 o superior;
- Actualizar a la versión 6.6.9 o superior;
- Actualizar a la versión 6.5.7 o superior.
- FortiSandbox
- Actualizar a la versión 5.0.2 o superior;
- Actualizar a la versión 4.4.9 o superior.
- FortiSandbox Cloud y FortiSandbox PaaS
- Migrar a una versión corregida proporcionada por el fabricante.
CVE-2026-44277: control de acceso inapropiado en FortiAuthenticator que podría permitir a un atacante remoto no autenticado ejecutar código o comandos no autorizados mediante solicitudes manipuladas dirigidas a los endpoints de la API.
CVE-2026-26083: autorización incorrecta en FortiSandbox, FortiSandbox Cloud y FortiSandbox PaaS que podría permitir a un atacante remoto no autenticado ejecutar código o comandos no autorizados a través de solicitudes HTTP especialmente diseñadas dirigidas a la interfaz web.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-44277 | Crítica | No | Fortinet |
| CVE-2026-26083 | Crítica | Si | Fortinet |
