Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Fortinet FortiSandbox (CVE-2024-52961)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
11/03/2025
Última modificación:
23/07/2025

Descripción

Una neutralización incorrecta de elementos especiales utilizados en una vulnerabilidad de comando del sistema operativo [CWE-78] en Fortinet FortiSandbox versión 5.0.0, 4.4.0 a 4.4.7, 4.2.0 a 4.2.7 y anteriores a 4.0.5 permite que un atacante autenticado con al menos permiso de solo lectura ejecute comandos no autorizados a través de solicitudes manipuladas.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:fortinet:fortisandbox:*:*:*:*:*:*:*:* 3.0.0 (incluyendo) 4.0.6 (excluyendo)
cpe:2.3:a:fortinet:fortisandbox:*:*:*:*:*:*:*:* 4.2.0 (incluyendo) 4.2.8 (excluyendo)
cpe:2.3:a:fortinet:fortisandbox:*:*:*:*:*:*:*:* 4.4.0 (incluyendo) 4.4.7 (excluyendo)
cpe:2.3:a:fortinet:fortisandbox:5.0.0:*:*:*:*:*:*:*


Referencias a soluciones, herramientas e información