FortiNET informuje o nowych podatnościach w swoich produktach. (P26-136)

utworzone przez | kwi 15, 2026 | Aktualizacje

ProduktFortiSandbox w wersji od 4.4.0 do 4.4.8
Numer CVECVE-2026-39808
Krytyczność9.1/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:F/RL:O/RC:C
OpisLuka typu „OS command injection” w systemie FortiSandbox może umożliwić nieuwierzytelnionemu napastnikowi wykonanie nieautoryzowanego kodu lub poleceń poprzez specjalnie skonstruowane żądania HTTP.
  
AktualizacjaTAK
Linkhttps://fortiguard.fortinet.com/psirt/FG-IR-26-100
ProduktFortiAnalyzer Cloud w wersji od 7.6.2 do 7.6.4
Numer CVECVE-2026-22828
Krytyczność7.3/10
CVSSAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/E:P/RL:O/RC:C
OpisLuka typu heap-based buffer overflow w demonie oftpd systemu FortiAnalyzer Cloud może umożliwić zdalnemu, nieuwierzytelnionemu napastnikowi wykonanie dowolnego kodu lub poleceń poprzez specjalnie skonstruowane żądania. Skuteczna eksploatacja wymagałaby dużego nakładu pracy przygotowawczej ze względu na mechanizm ASLR oraz segmentację sieci.
  
AktualizacjaTAK
Linkhttps://fortiguard.fortinet.com/psirt/FG-IR-26-121
ProduktFortiDDoS-F w wersji od 7.2.1 do 7.2.2
Numer CVECVE-2026-39815
Krytyczność7.9/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:P/RL:O/RC:C
OpisLuka typu „SQL Injection” w systemie FortiDDoS-F może umożliwić uwierzytelnionemu napastnikowi wykonywanie dowolnych zapytań SQL w bazie danych poprzez wysyłanie specjalnie skonstruowanych żądań HTTP.
  
AktualizacjaTAK
Linkhttps://fortiguard.fortinet.com/psirt/FG-IR-26-119
ProduktFortiSandbox w wersji od 5.0.0 do 5.0.5
FortiSandbox w wersji od 4.4.0 do 4.4.8
Numer CVECVE-2026-39813
Krytyczność9.1/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:F/RL:O/RC:C
OpisLuka typu Path Traversal w interfejsie JRPC API systemu FortiSandbox może umożliwić nieuwierzytelnionemu napastnikowi ominięcie uwierzytelniania za pomocą specjalnie skonstruowanych żądań HTTP.
  
AktualizacjaTAK
Linkhttps://fortiguard.fortinet.com/psirt/FG-IR-26-112