Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Inyección de comandos en FortiSandbox de Fortinet

Fecha de publicación 10/06/2026
Identificador
INCIBE-2026-411
Importancia
5 - Crítica
Recursos Afectados
  • FortiSandbox 5.0: versiones afectadas 5.0.0 a 5.0.5.
  • FortiSandbox 4.4: versiones afectadas 4.4.0 a 4.4.8.
  • FortiSandbox Cloud 5.0: versiones afectadas 5.0.4 a 5.0.5.
  • FortiSandbox PaaS 5.0: versiones afectadas 5.0.4 a 5.0.5.
Descripción

FortiGuard Labs ha publicado una vulnerabilidad de severidad crítica, que es caso de ser explotada, podría permitir a un atacante ejecutar comandos no autorizados a través de solicitudes HTTP especialmente diseñadas.

Solución

Actualizar a alguna de las siguientes versiones:

  • FortiSandbox 5.0.6 o superior.
  • FortiSandbox 4.4.9 o superior.
  • FortiSandbox Cloud 5.0.6 o superior.
  • FortiSandbox PaaS 5.0.6 o superior.
Detalle

CVE-2026-25089: neutralización incorrecta de elementos especiales utilizados en un comando del sistema operativo ('inyección de comandos del sistema operativo') podría permitir a un atacante, no autenticado, ejecutar comandos no autorizados mediante solicitudes HTTP especialmente diseñadas. El problema se origina por una validación y depuración insuficientes de la entrada en la gestión de las solicitudes HTTP por parte de la interfaz web.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-25089 Crítica No Fortinet
Listado de referencias
Second-Order OS Command Injection via JSON Input on start vnc feature
Etiquetas