FortiSandboxの2つの脆弱性(CVE-2026-39813、CVE-2026-39808)は、未認証の攻撃者に悪用される可能性があり、認証をバイパスして脆弱なシステム上で不正なコードまたはコマンドを実行できます。
両方の脆弱性は、特別に細工されたHTTPリクエストで発動される可能性があり、パッチが当たっていないFortiSandboxの展開を危険にさらします。
FortiSandboxについて
FortiSandboxは、高度な脅威を検出および分析するためのFortinet のセキュリティソリューションです。これは疑わしいファイルとURLを隔離された環境で実行し、判定を返すことによって行われます。
他のFortinet製品(ファイアウォール、メールセキュリティアプライアンス、エンドポイントセキュリティクライアント、SIEM、SOAR)は、ブロック決定を適用するか、アラートと自動化されたプレイブックをトリガーするために、これらの判定に依存しています。FortiSandboxは、Fortinet Security Fabricを通じてこれらのソリューションと接続します。
修正された脆弱性
CVE-2026-39813はFortiSandboxのJRPC APIのパストラバーサル脆弱性であり、FortiSandboxバージョン5.0.0~5.0.5および4.4.0~4.4.8を実行しているシステムの認証をバイパスすることを攻撃者に許可する可能性があります。
CVE-2026-39808はFortiSandboxバージョン4.4.0~4.4.8の未指定のAPIに影響し、OSコマンドで使用される特殊要素の不適切な中和を利用することで、未認証のコード/コマンド実行を可能にします。
両方の脆弱性は研究者によってFortnetに開示されています。CVE-2026-39813はFortinet自身のPSIRTチームのLoic Pantanoによってフラグが立てられ、CVE-2026-39808はKPMG SpainのSamuel de Lucas Marotoによってフラグが立てられました。
現在のところ、攻撃者に悪用されているか悪用されようとしているという兆候はありませんが、侵害されたFortiSandboxインスタンスは、悪意のあるファイルを依存するFortinet製品にクリーンなものとして渡すか、またはエンタープライズネットワーク内でのフットホール/横展開として使用される可能性があります。
このセキュリティ更新の最新バッチでは、Fortnetは、FortiSandbox、FortiSandbox Cloud、およびFortiSandbox PaaSに影響する、社内で発見された3つの中程度の重大度の脆弱性も修正しました。
2つ(CVE-2025-61886、CVE-2026-39812)はクロスサイトスクリプティング攻撃を許可し、1つ(CVE-2026-25691)は「スーパー管理者プロフィールとCLIアクセスを持つ特権攻撃者が、HTTP細工リクエストを介して任意のディレクトリを削除できる」可能性があります。
