Fortinetは、同社のFortiSandbox製品ラインに重大なセキュリティ脆弱性が存在することを公表しました。この脆弱性を悪用されると、未認証の攻撃者が任意のOSコマンドをリモートから実行できる恐れがあります。
CVE-2026-25089として追跡されているこの脆弱性にはCVSSv3スコア9.1が付与されており、高度な脅威検出やマルウェア分析にFortiSandboxを活用している企業環境にとって深刻なリスクとなっています。
FG-IR-26-141として識別されるこの脆弱性は、FortiSandboxのWeb UIにおけるOSコマンドの特殊要素の不適切な無害化処理(CWE-78)に起因しています。
この古典的なOSコマンドインジェクションの欠陥は、FortiSandbox、FortiSandbox Cloud、FortiSandbox PaaSの各展開形態にわたって存在しています。
リモートからの未認証攻撃者は、影響を受けるGUIコンポーネントに対して細工したHTTPリクエストを送信することで、この脆弱性を悪用できます。
悪用に成功した場合、攻撃者は不正なコマンドを実行でき、機密性・完全性・可用性のすべてに対して高い影響を与える可能性があります。この点は、最大値に近いCVSSスコアにも如実に表れています。
以下のバージョンが脆弱であることが確認されており、早急なパッチ適用が必要です。
なお、FortiSandbox 5.2、FortiSandbox Cloud 5.2および4.4、FortiSandbox PaaS 23.4・5.2・4.4は本脆弱性の影響を受けません。
この脆弱性が特に深刻なのは、認証不要・ユーザー操作不要・高権限不要で悪用できる点です。この特性はCVSSベクター(AV:N/AC:L/PR:N/UI:N)にも反映されています。
FortiSandboxは疑わしいファイルやURLを分析する目的でエンタープライズのセキュリティスタックの中核に配置されているため、侵害に成功されると、攻撃者が脅威分析のパイプラインを改ざんしたり、マルウェア検出を無効化したり、内部ネットワークへのさらなる侵入経路を確保したりする可能性があります。
Fortinetの発表によると、2026年6月9日の初回公開日時点では実際の悪用は確認されていないとのことです。これにより、脅威アクターが有効なエクスプロイトを開発する前に修正を適用するための重要な猶予期間が生まれています。
この脆弱性はFortinetの製品セキュリティチームに所属するAdham El Karnによって社内で発見・報告されており、Fortinetの内部セキュリティレビュープロセスを通じた責任ある対応が取られています。
Fortinetはこの脆弱性に対処するパッチをリリース済みで、影響を受けるすべての顧客に対して早急なアップグレードを強く推奨しています。
脆弱なバージョンのFortiSandboxを運用している組織、特にインターネットに管理インターフェイスが公開されている環境では、このパッチを優先的に適用するよう対応が求められます。
翻訳元: https://cyberpress.org/fortinet-fortisandbox-flaw/
