FortiSandbox XSSの脆弱性によりリモートコマンド実行が可能に

Fortinetは、同社のFortiSandboxプラットフォームにおいて、認証されていない攻撃者が任意のコマンドを実行できる可能性のある脆弱性を公開しました。

この問題は、FortiSandbox Webインターフェースにおけるクロスサイトスクリプティング(XSS)の欠陥に関わるもので、悪用されると権限が昇格される可能性があります。

この脆弱性は「…細工されたリクエストを通じて、認証されていない攻撃者がコマンドを実行することを可能にする可能性がある」と、Fortinetは勧告の中で述べています。

FortiSandboxの脆弱性の説明

CVE-2025-52436として追跡されているこの脆弱性は、CVSSスコア7.9を記録しており、その潜在的な影響と悪用の容易さを反映しています。

Fortinetは、この問題をFortiSandboxグラフィカルユーザーインターフェース(GUI)内の不十分な入力サニタイゼーションによって引き起こされる反射型クロスサイトスクリプティング(XSS)の欠陥として分類しました。

攻撃者は、FortiSandboxインターフェースにおける操作されたパラメータやブラウザナビゲーション動作を通じて悪意のあるJavaScriptを注入することで、この欠陥を悪用できます。

アプリケーションがユーザー提供の入力を適切に無害化できないため、注入されたスクリプトはユーザーに反射され、ページがレンダリングされる際に実行されます。

管理者などの特権ユーザーが後で影響を受けるページと対話すると、スクリプトはFortiSandbox GUIのコンテキストで実行されます。

この場合、影響はクライアントサイドスクリプティングだけにとどまりません。

Fortinetは、悪用が成功するとリモートコード実行(RCE)につながり、攻撃者に基盤システムへのコマンドラインアクセスを付与する可能性があることを確認しました。

このレベルのアクセスにより、攻撃者は機密データを流出させたり、接続されたシステムに移動したり、マルウェア解析ワークフローを操作または破壊したり、サンドボックス制御を完全に回避しようとしたりする可能性があります。

Fortinetは、この脆弱性が主にFortiSandbox PaaS展開に影響すると述べています。

バージョン5.0.0〜5.0.1は5.0.2以降にアップグレードする必要があり、バージョン4.4.0〜4.4.7は4.4.8以降へのアップグレードが必要です。すべての4.2および4.0リリースは修正されたバージョンに移行する必要があります。

パッチはPaaSバージョン4.4.8および5.0.5で利用可能であり、Fortinetは露出を減らすために速やかにアップグレードすることを推奨しています。

Fortinetは公開時点でこの脆弱性の悪用は報告していません。

FortiSandboxは通常、信頼されたセキュリティワークフローで使用されるため、プラットフォームの脆弱性は対処されない場合、より広範な影響を与える可能性があります。

リスクの軽減には、パッチ適用だけでなく、露出の制限、監視の改善、潜在的な悪用への備えが含まれます。

これらの対策を総合的に実施することで、FortiSandboxの侵害による被害範囲を制限しながら、信頼されたセキュリティプラットフォームの悪用に対する全体的な回復力を強化できます。

この公開は、一般的なWebアプリケーションの問題がセキュリティ重視のプラットフォームにも依然として現れ、直接のシステム以上に影響を与える可能性があることを示しています。

Fortinetはパッチをリリースし、既知の悪用は報告していませんが、組織は信頼されたセキュリティツールの脆弱性に、他の露出されたシステムと同じ優先度で対処する必要があります。

このタイプのリスクは、組織が内部およびセキュリティ向けシステムであっても暗黙の信頼を最小限に抑えるゼロトラストアプローチを採用している理由を強調しています。