Fortinet - CVE-2026-26083

Date de publication :

Il s'agit d'une vulnérabilité d'autorisation manquante dans l'interface web (composant GUI) de FortiSandbox.

FortiSandbox est une solution d'analyse dynamique de fichiers et de détection de menaces avancées de Fortinet, disponible en appliance, en machine virtuelle, en cloud et en mode PaaS.

Aucune vérification d'autorisation n'est appliquée sur certains endpoints HTTP de l'interface d'administration. Un attaquant peut envoyer des requêtes HTTP forgées sans aucune authentification pour déclencher l'exécution de code ou de commandes sur le système sous-jacent.

Elle permet à un attaquant distant non authentifié d'exécuter du code arbitraire sur l'équipement.

CVE-2026-26083

[Score CVSS v3.1 : 9.8]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Exécution de code arbitraire (à distance)

Exploitation

La vulnérabilité exploitée est du type
CWE-862 : Missing Authorization

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

•   FortiSandbox versions 5.0.0 jusqu'à 5.0.1
•   FortiSandbox versions 4.4.0 jusqu'à 4.4.8
•   FortiSandbox Cloud 24, toutes versions (EOL sur cette branche)
•   FortiSandbox Cloud 23, toutes versions (EOL sur cette branche)
•   FortiSandbox Cloud versions 5.0.2 jusqu'à 5.0.5
•   FortiSandbox PaaS 23.4, toutes versions
•   FortiSandbox PaaS 23.3, toutes versions
•   FortiSandbox PaaS 23.1, toutes versions
•   FortiSandbox PaaS 22.2, toutes versions
•   FortiSandbox PaaS 22.1, toutes versions
•   FortiSandbox PaaS 21.4, toutes versions
•   FortiSandbox PaaS 21.3, toutes versions
•   FortiSandbox PaaS versions 5.0.0 jusqu'à 5.0.1
•   FortiSandbox PaaS versions 4.4.5 jusqu'à 4.4.8

Solutions ou recommandations

•   FortiSandbox branche 5.0.x : version 5.0.2 et supérieure
•   FortiSandbox branche 4.4.x : version 4.4.9 et supérieure
•   FortiSandbox Cloud branche 5.0.x : version 5.0.6 et supérieure
•   FortiSandbox PaaS branche 5.0.x : version 5.0.2 et supérieure
•   FortiSandbox PaaS branche 4.4.x : version 4.4.9 et supérieure
•   FortiSandbox Cloud 24, 23 et FortiSandbox PaaS 23.4, 23.3, 23.1, 22.2, 22.1, 21.4, 21.3 : migration vers une version corrigée requise (aucun correctif disponible sur ces branches)

Liens