Fortinet は、エンタープライズセキュリティポートフォリオ全体の11個の脆弱性に対処するセキュリティ更新プログラムの新しいラウンドをリリースしました。
影響を受けるプロダクトには、FortiSandbox、FortiOS、FortiAnalyzer、FortiManager が含まれます。これらはすべて、多くの組織のネットワーク防御インフラストラクチャの重要なコンポーネントです。
パッチされた脆弱性のうち2つは重大に分類されており、ネットワーク管理者からの直ちの対応が必要です。
最も深刻な欠陥である CVE-2026-39808 は、FortiSandbox と FortiSandbox PaaS API エンドポイントに影響します。
この脆弱性は不正な入力処理に起因し、認証されていない攻撃者が 任意のOSコマンドを実行することを可能にします。
成功した悪用により完全なシステム制御が得られる可能性があり、パッチを適用することが最優先事項になります。
もう1つの重大な問題である CVE-2026-39813 は、FortiSandbox JRPC API の認証回避と権限昇格の脆弱性を含みます。
攻撃者はログインメカニズムをバイパスして管理者権限を取得し、内部の完全な侵害につながる可能性があります。
重大な欠陥を超えて、他の9つの脆弱性は高から低の重大度の範囲に及び、メモリ破損、認証失敗、コードインジェクション問題にまたがります。
例えば CVE-2026-22828 は FortiAnalyzer Cloud と FortiManager Cloud のヒープベースバッファオーバーフロー、CVE-2025-53847 は FortiOS と FortiSwitchManager で重大な機能を認証されていないアクタに露出させるものが含まれます。
その他は XSS、SQL インジェクション、パストラバーサルの欠陥を含み、迅速なパッチ適用の重要性を強調しています。
管理者は利用可能なすべての更新プログラムを直ちに適用し、Fortinet の Upgrade Path Tool を使用して安定性を確保する必要があります。
追加の予防措置には、攻撃の試みについてログを監視する、管理者インターフェースへの外部アクセスを制限する、および強力なアクセス制御を実装することが含まれます。