攻撃者がFortiSandboxの3つの脆弱性(CVE-2026-39813、CVE-2026-39808、CVE-2026-25089)を悪用していることが確認されました。FortiSandboxは、他のFortinet製セキュリティ製品がブロック判定の実施や自動対応のトリガーとして依存する脅威評決プラットフォームです。
この警告は月曜日、脅威インテリジェンス企業Defusedから発せられました。同社は、脆弱性の1つに対するエクスプロイトがvibecoding(AIバイブコーディング)で作成されており、不完全な可能性が高いと述べています。
脆弱性の詳細
FortinetはCVE-2026-39813とCVE-2026-39808を2026年4月に公開しました。
前者はFortiSandboxのJRPC APIにおけるパストラバーサル脆弱性で、FortiSandboxが稼働するシステムの認証バイパスに悪用される可能性があります。後者はOSコマンドインジェクション脆弱性で、未認証のままコードやコマンドが実行されるおそれがあります。
CVE-2026-25089は、FortiSandbox、FortiSandbox Cloud、FortiSandbox PaaSのWebユーザーインターフェースに影響するOSコマンドインジェクション脆弱性です。特別に細工されたHTTPリクエストを通じて、未認証の攻撃者が不正なコマンドを実行できるおそれがあります。
CVE-2026-25089は1週間前に公開され、その発見はFortinet製品セキュリティチームのAdham El Karn氏によるものとされています。
いずれの脆弱性もFortinetによって修正済みです。
攻撃の詳細はまだ明らかになっておらず、ベンダーもこれらの脆弱性が実際に悪用されていることを確認するには至っていません。
Fortinet製品の他のソリューションにおける脆弱性は攻撃者に頻繁に悪用されてきましたが、FortiSandbox自体はこれまで主要な標的になることはほとんどありませんでした。
しかし、CVE-2026-25089に対するvibecoding製エクスプロイトの登場は、今後の動向を示す前兆かもしれません。AIがエクスプロイト開発の障壁を下げ、脆弱性調査を加速させるなか、攻撃者は今後、より広範な公開済み脆弱性に目を向けるようになると考えられます。
