| Produkt | FortiAnalyzer 7.6.0 do 7.6.4 FortiAnalyzer 7.4 wszystkie wersje FortiAnalyzer 7.2 wszystkie wersje FortiAnalyzer 7.0 wszystkie wersje FortiAnalyzer 6.4 wszystkie wersje FortiAnalyzer Cloud 7.6.2 FortiAnalyzer Cloud 7.4.1 do 7.4.7 FortiAnalyzer Cloud 7.2.1 do 7.2.10 FortiAnalyzer Cloud 7.0.1 do 7.0.14 FortiAnalyzer Cloud 6.4 wszystkie wersje FortiManager 7.6.0 do 7.6.4 FortiManager 7.4 wszystkie wersje FortiManager 7.2 wszystkie wersje FortiManager 7.0 wszystkie wersje FortiManager 6.4 wszystkie wersje FortiManager Cloud 7.6.2 do 7.6.3 FortiManager Cloud od 7.4.1 do 7.4.7 FortiManager Cloud od 7.2.1 do 7.2.10 FortiManager Cloud od 7.0.1 do 7.0.14 FortiManager Cloud 6.4 wszystkie wersje |
| Numer CVE | CVE-2026-22629 |
| Krytyczność | 3.4/10 |
| CVSS | AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:N/E:P/RL:W/RC:C |
| Opis | Luka w zabezpieczeniach FortiManager i FortiAnalyzer wynika z nieprawidłowego ograniczenia nadmiernej liczby prób uwierzytelnienia, co może umożliwić atakującemu ominięcie zabezpieczeń metodą bruteforce poprzez wykorzystanie warunków wyścigu. |
| Aktualizacja | TAK |
| Link | https://www.fortiguard.com/psirt/FG-IR-26-079 |
| Produkt | FortiDeceptor – wersje 6.2, 6.0, 5.3, 5.2, 5.1, 5.0, 4.3, 4.2, 4.1, 4.0 |
| Numer CVE | CVE-2026-22629 |
| Krytyczność | 6.0/10 |
| CVSS | AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H/E:F/RL:O/RC:C |
| Opis | Luka w zabezpieczeniach interfejsu WEBUI FortiDeceptor polegająca na nieprawidłowej neutralizacji ograniczników argumentów w poleceniu („wstrzykiwanie argumentów”) może umożliwić uprzywilejowanemu atakującemu z profilem superadministratora i dostępem CLI usuwanie poufnych plików za pośrednictwem odpowiednio spreparowanych żądań HTTP. |
| Aktualizacja | TAK |
| Link | https://www.fortiguard.com/psirt/FG-IR-26-094 |
| Produkt | FortiWeb od wersji 8.0.0 do 8.0.2 FortiWeb od wersji 7.6.0 do 7.6.5 FortiWeb od wersji 7.4.0 do 7.4.10 FortiWeb od wersji 7.2.0 do 7.2.11 FortiWeb od wersji 7.0.0 do 7.0.11 |
| Numer CVE | CVE-2026-24017 |
| Krytyczność | 7.3/10 |
| CVSS | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/E:P/RL:O/RC:C |
| Opis | Luka w zabezpieczeniach FortiWeb związana z nieprawidłową kontrolą częstotliwości interakcji może umożliwić zdalnemu, nieuwierzytelnionemu atakującemu ominięcie limitu szybkości uwierzytelniania za pomocą spreparowanych żądań. Sukces ataku zależy od zasobów atakującego i złożoności hasła docelowego. |
| Aktualizacja | TAK |
| Link | https://www.fortiguard.com/psirt/FG-IR-26-082 |
| Produkt | FortiSwitchAXFixed 1.0.0 do 1.0.1 |
| Numer CVE | CVE-2026-22627 |
| Krytyczność | 7.7/10 |
| CVSS | AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C |
| Opis | Luka w zabezpieczeniach FortiSwitchAXFixed polegająca na kopiowaniu bufora bez sprawdzania rozmiaru danych wejściowych (klasyczne przepełnienie bufora) może umożliwić niezautoryzowanemu atakującemu w tej samej sieci wykonanie nieautoryzowanego kodu lub poleceń na urządzeniu poprzez wysłanie zmodyfikowanego pakietu LLDP. |
| Aktualizacja | TAK |
| Link | https://www.fortiguard.com/psirt/FG-IR-26-086 |
| Produkt | FortiManager 7.4.0 do 7.4.2 FortiManager 7.2.0 do 7.2.10 FortiManager 6.4 wszystkie wersje |
| Numer CVE | CVE-2025-54820 |
| Krytyczność | 7.0/10 |
| CVSS | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/E:P/RL:O/RC:R |
| Opis | Luka w zabezpieczeniach związana z przepełnieniem bufora stosu w usłudze fgtupdates programu FortiManager może umożliwić zdalnemu, nieuwierzytelnionemu atakującemu wykonywanie nieautoryzowanych poleceń za pośrednictwem spreparowanych żądań, jeśli usługa jest włączona. Sukces ataku zależy od możliwości ominięcia mechanizmów ochrony stosu. |
| Aktualizacja | TAK |
| Link | https://www.fortiguard.com/psirt/FG-IR-26-098 |
| Produkt | FortiAnalyzer 7.6.0 do 7.6.4 FortiAnalyzer 7.4.0 do 7.4.7 FortiAnalyzer 7.2 wszystkie wersje FortiAnalyzer 7.0 wszystkie wersje FortiAnalyzer Cloud 7.6.0 do 7.6.4 FortiAnalyzer Cloud 7.4.0 do 7.4.7 FortiAnalyzer Cloud 7.2 wszystkie wersje FortiAnalyzer Cloud 7.0 wszystkie wersje FortiManager 7.6.0 do 7.6.4 FortiManager 7.4.0 do 7.4.7 FortiManager 7.2 wszystkie wersje FortiManager 7.0 wszystkie wersje FortiManager Cloud 7.6.0 do 7.6.4 FortiManager Cloud 7.4.0 do 7.4.7 FortiManager Cloud 7.2 wszystkie wersje FortiManager Cloud 7.0 wszystkie wersje |
| Numer CVE | CVE-2025-68648 |
| Krytyczność | 6.5/10 |
| CVSS | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H/E:P/RL:O/RC:C |
| Opis | Wykorzystanie luki w zabezpieczeniach zewnętrznie kontrolowanego ciągu formatującego w FortiAnalyzer, FortiAnalyzer Cloud, FortiManager oraz demon fazsvcd FortiManager Cloud może umożliwić zdalnemu, uprzywilejowanemu atakującemu z profilem administratora wykonanie dowolnego kodu lub poleceń za pośrednictwem specjalnie spreparowanych żądań. |
| Aktualizacja | TAK |
| Link | https://www.fortiguard.com/psirt/FG-IR-26-092 |
| Produkt | FortiMail od 7.6.0 do 7.6.2 FortiMail od 7.4.0 do 7.4.4 FortiMail od 7.2.0 do 7.2.7 FortiMail od 7.0.0 do 7.0.8 FortiRecorder od 7.2.0 do 7.2.3 FortiRecorder 7.0 wszystkie wersje FortiRecorder 6.4 wszystkie wersje FortiVoice 7.2.0 FortiVoice od 7.0.0 do 7.0.6 |
| Numer CVE | CVE-2025-55717 |
| Krytyczność | 3.8/10 |
| CVSS | AV:L/AC:H/PR:H/UI:R/S:U/C:H/I:N/A:N/E:P/RL:X/RC:C |
| Opis | Luka w zabezpieczeniach dotycząca przechowywania poufnych informacji w postaci tekstu jawnego w dziennikach debugowania FortiMail, FortiVoice i FortiRecorder może umożliwić uwierzytelnionemu administratorowi uzyskanie poufnych informacji użytkownika za pośrednictwem poleceń CLI. |
| Aktualizacja | TAK |
| Link | https://www.fortiguard.com/psirt/FG-IR-26-080 |
| Produkt | FortiAnalyzer 7.6.0 do 7.6.4 FortiAnalyzer 7.4.0 do 7.4.8 FortiAnalyzer 7.2 wszystkie wersje FortiAnalyzer 7.0 wszystkie wersje FortiAnalyzer 6.4 wszystkie wersje FortiAnalyzer 7.6.0 do 7.6.4 FortiAnalyzer 7.4.0 do 7.4.8 FortiAnalyzer 7.2 wszystkie wersje FortiAnalyzer 7.0 wszystkie wersje FortiAnalyzer 6.4 wszystkie wersje |
| Numer CVE | CVE-2025-68482 |
| Krytyczność | 6.3/10 |
| CVSS | AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:L/A:N/E:P/RL:W/RC:C |
| Opis | Luka w zabezpieczeniach polegająca na nieprawidłowym sprawdzaniu poprawności certyfikatu w interfejsie graficznym FortiManager może umożliwić zdalnemu, niezweryfikowanemu atakującemu dostęp do poufnych informacji za pośrednictwem ataku typu „man-in-the-middle” [MiTM]. |
| Aktualizacja | TAK |
| Link | https://www.fortiguard.com/psirt/FG-IR-26-078 |
| Produkt | FortiClientLinux od wersji 7.4.0 do 7.4.4 FortiClientLinux od wersji 7.2.2 do 7.2.12 |
| Numer CVE | CVE-2026-24018 |
| Krytyczność | 7.4/10 |
| CVSS | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:P/RL:U/RC:C |
| Opis | Symboliczne łącze UNIX (Symlink) Ta luka w zabezpieczeniach FortiClientLinux może umożliwić lokalnemu i nieuprzywilejowanemu użytkownikowi rozszerzenie swoich uprawnień do poziomu roota. |
| Aktualizacja | TAK |
| Link | https://www.fortiguard.com/psirt/FG-IR-26-083 |
| Produkt | FortiAnalyzer od wersji 7.6.0 do 7.6.3 FortiAnalyzer od wersji 7.4.0 do 7.4.7 FortiAnalyzer od wersji 7.2.2 do 7.2.11 FortiAnalyzer Cloud od wersji 7.6.0 do 7.6.3 FortiAnalyzer Cloud od wersji 7.4.0 do 7.4.7 FortiAnalyzer Cloud od wersji 7.2.2 do 7.2.10 FortiManager od wersji 7.6.0 do 7.6.3 FortiManager od wersji 7.4.0 do 7.4.7 FortiManager od wersji 7.2.2 do 7.2.11 FortiManager Cloud od wersji 7.6.0 do 7.6.3 FortiManager Cloud od wersji 7.4.0 do 7.4.7 FortiManager Cloud od wersji 7.2.2 do 7.2.10 |
| Numer CVE | CVE-2026-22572 |
| Krytyczność | 6.8/10 |
| CVSS | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H/E:P/RL:U/RC:C |
| Opis | Luka w zabezpieczeniach funkcji ominięcia uwierzytelniania za pomocą alternatywnej ścieżki lub kanału w uwierzytelnianiu wieloskładnikowym FortiManager i FortiAnalyzer może umożliwić atakującemu znającemu hasło administratora ominięcie kontroli uwierzytelniania wieloskładnikowego poprzez przesłanie wielu spreparowanych żądań. |
| Aktualizacja | TAK |
| Link | https://www.fortiguard.com/psirt/FG-IR-26-090 |
| Produkt | FortiWeb 8.0.0 do 8.0.2 FortiWeb 7.6.0 do 7.6.6 FortiWeb 7.4 wszystkie wersje FortiWeb 7.2 wszystkie wersje FortiWeb 7.0 wszystkie wersje |
| Numer CVE | CVE-2026-24641 |
| Krytyczność | 2.5/10 |
| CVSS | AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L/E:P/RL:O/RC:C |
| Opis | Luka w zabezpieczeniach funkcji ominięcia uwierzytelniania za pomocą alternatywnej ścieżki lub kanału w uwierzytelnianiu wieloskładnikowym FortiManager i FortiAnalyzer może umożliwić atakującemu znającemu hasło administratora ominięcie kontroli uwierzytelniania wieloskładnikowego poprzez przesłanie wielu spreparowanych żądań. |
| Aktualizacja | TAK |
| Link | https://www.fortiguard.com/psirt/FG-IR-26-089 |
| Produkt | FortiWeb od wersji 8.0.0 do 8.0.1 FortiWeb od wersji 7.6.0 do 7.6.5 FortiWeb od wersji 7.4.0 do 7.4.11 FortiWeb od wersji 7.2.0 do 7.2.12 FortiWeb od wersji 7.0.0 do 7.0.12 |
| Numer CVE | CVE-2025-66178 |
| Krytyczność | 6.7/10 |
| CVSS | AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:L/E:P/RL:O/RC:C |
| Opis | Luka w zabezpieczeniach interfejsu API FortiWeb umożliwiająca wstrzykiwanie poleceń systemu operacyjnego może umożliwić uwierzytelnionej osobie atakującej wykonywanie dowolnych poleceń za pośrednictwem specjalnie spreparowanego żądania HTTP. |
| Aktualizacja | TAK |
| Link | https://www.fortiguard.com/psirt/FG-IR-26-088 |
| Produkt | FortiSandbox Cloud 5.0.4 |
| Numer CVE | CVE-2026-25836 |
| Krytyczność | 6.7/10 |
| CVSS | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H/E:F/RL:O/RC:C |
| Opis | Luka w zabezpieczeniach interfejsu użytkownika FortiSandbox Cloud WEB polegająca na niewłaściwej neutralizacji elementów specjalnych używanych w poleceniu systemu operacyjnego („wstrzyknięcie polecenia systemu operacyjnego”) może umożliwić uprzywilejowanemu atakującemu z profilem superadministratora i dostępem CLI wykonywanie nieautoryzowanego kodu lub poleceń za pośrednictwem spreparowanych żądań HTTP. |
| Aktualizacja | TAK |
| Link | https://www.fortiguard.com/psirt/FG-IR-26-096 |
| Produkt | FortiSOAR Agent Communication Bridge 1.1.0 FortiSOAR Agent Communication Bridge 1.0 wszystkie wersje |
| Numer CVE | CVE-2025-54659 |
| Krytyczność | 5.5/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:N/E:F/RL:X/RC:R |
| Opis | Luka w zabezpieczeniach FortiSOAR Agent Connector Bridge polegająca na nieprawidłowym ograniczeniu ścieżki dostępu do katalogu zastrzeżonego („Przemierzanie ścieżki”) może umożliwić nieuwierzytelnionemu atakującemu odczytanie plików dostępnych dla użytkownika FortiSOAR w systemie, w którym wdrożono agenta, poprzez wysłanie specjalnie spreparowanego żądania do portu agenta. |
| Aktualizacja | TAK |
| Link | https://www.fortiguard.com/psirt/FG-IR-26-084 |
| Produkt | FortiAnalyzer od wersji 7.6.0 do 7.6.3 FortiAnalyzer od wersji 7.4.0 do 7.4.7 FortiAnalyzer od wersji 7.2.0 do 7.2.10 FortiAnalyzer od wersji 7.0.0 do 7.0.14 FortiAnalyzer 6.4 wszystkie wersje FortiAnalyzer Cloud 7.6.2 FortiAnalyzer Cloud od wersji 7.4.1 do 7.4.7 FortiAnalyzer Cloud od wersji 7.2.1 do 7.2.10 FortiAnalyzer Cloud od wersji 7.0.1 do 7.0.14 FortiAnalyzer Cloud 6.4 wszystkie wersje FortiManager od wersji 7.6.0 do 7.6.3 FortiManager od wersji 7.4.0 do 7.4.7 FortiManager od wersji 7.2.0 do 7.2.10 FortiManager 7.0.0 do 7.0.14 FortiManager 6.4 wszystkie wersje FortiManager Cloud 7.6.2 do 7.6.3 FortiManager Cloud 7.4.1 do 7.4.7 FortiManager Cloud 7.2.1 do 7.2.10 FortiManager Cloud 7.0.1 do 7.0.14 FortiManager Cloud 6.4 wszystkie wersje |
| Numer CVE | CVE-2025-48418 |
| Krytyczność | 6.4/10 |
| CVSS | AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H/E:F/RL:W/RC:C |
| Opis | Dołączenie nieudokumentowanych funkcji do interfejsu CLI narzędzi FortiManager i FortiAnalyzer może umożliwić zdalnemu administratorowi z uprawnieniami tylko do odczytu i dostępem do interfejsu CLI zwiększenie swoich uprawnień za pomocą ukrytego polecenia. |
| Aktualizacja | TAK |
| Link | https://www.fortiguard.com/psirt/FG-IR-26-081 |
| Produkt | FortiWeb 7.6.0 do 7.6.3 FortiWeb 7.4.0 do 7.4.8 FortiWeb 7.2 wszystkie wersje FortiWeb 7.0 wszystkie wersje |
| Numer CVE | CVE-2025-48840 |
| Krytyczność | 5.0/10 |
| CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N/E:P/RL:U/RC:C |
| Opis | Luka w zabezpieczeniach funkcji chronionej nazwy hosta FortiWeb umożliwiająca ominięcie uwierzytelniania poprzez podszywanie się może umożliwić zdalnemu, nieuwierzytelnionemu atakującemu ominięcie ograniczeń nazwy hosta za pomocą specjalnie spreparowanego żądania. |
| Aktualizacja | TAK |
| Link | https://www.fortiguard.com/psirt/FG-IR-26-097 |
| Produkt | FortiSIEM 7.4.0 FortiSIEM 7.3.0 do 7.3.4 |
| Numer CVE | CVE-2026-25972 |
| Krytyczność | 4.1/10 |
| CVSS | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N/E:P/RL:U/RC:C |
| Opis | Niewłaściwa neutralizacja danych wejściowych podczas generowania strony internetowej („Cross-site Scripting”) na stronie błędu FortiSIEM może umożliwić zdalnemu, niezweryfikowanemu atakującemu dostarczenie dowolnych danych umożliwiających przeprowadzenie ataku socjotechnicznego za pomocą fałszywych parametrów adresu URL. |
| Aktualizacja | TAK |
| Link | https://www.fortiguard.com/psirt/FG-IR-26-077 |
| Produkt | FortiAnalyzer 7.6.0 do 7.6.4 FortiAnalyzer 7.4.0 do 7.4.7 FortiAnalyzer 7.2 wszystkie wersje FortiAnalyzer 7.0 wszystkie wersje FortiAnalyzer 6.4 wszystkie wersje FortiAnalyzer-BigData 7.6.0 FortiAnalyzer-BigData 7.4.0 do 7.4.4 FortiAnalyzer-BigData 7.2 wszystkie wersje FortiAnalyzer-BigData 7.0 wszystkie wersje FortiAnalyzer-BigData 6.4 wszystkie wersje FortiAnalyzer-BigData 6.2 wszystkie wersje |
| Numer CVE | CVE-2025-49784 |
| Krytyczność | 5.6/10 |
| CVSS | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:L/A:L/E:F/RL:T/RC:C |
| Opis | Luka w zabezpieczeniach FortiAnalyzer i FortiAnalyzer-BigData polegająca na niewłaściwej neutralizacji elementów specjalnych używanych w poleceniach SQL („wstrzyknięcie kodu SQL”) może umożliwić uwierzytelnionemu atakującemu wykonanie nieautoryzowanego kodu lub poleceń za pośrednictwem specjalnie spreparowanych żądań. |
| Aktualizacja | TAK |
| Link | https://www.fortiguard.com/psirt/FG-IR-26-095 |
| Produkt | FortiWeb od 8.0.0 do 8.0.3 FortiWeb od 7.6.0 do 7.6.6 FortiWeb od 7.4.0 do 7.4.11 FortiWeb 7.2 wszystkie wersje FortiWeb 7.0 wszystkie wersje |
| Numer CVE | CVE-2026-30897 |
| Krytyczność | 5.9/10 |
| CVSS | AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H/E:P/RL:O/RC:C |
| Opis | Luka w zabezpieczeniach FortiWeb związana z przepełnieniem bufora stosu może umożliwić zdalnemu uwierzytelnionemu atakującemu, który potrafi ominąć ochronę stosu i ASLR, wykonanie dowolnego kodu lub poleceń za pośrednictwem spreparowanych żądań HTTP. |
| Aktualizacja | TAK |
| Link | https://www.fortiguard.com/psirt/FG-IR-26-093 |
| Produkt | FortiWeb 8.0.0 do 8.0.2 FortiWeb 7.6.0 do 7.6.6 FortiWeb 7.4 wszystkie wersje FortiWeb 7.2 wszystkie wersje FortiWeb 7.0.2 do 7.0.12 |
| Numer CVE | CVE-2026-24640 |
| Krytyczność | 5.9/10 |
| CVSS | AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H/E:P/RL:O/RC:C |
| Opis | Luka w zabezpieczeniach FortiWeb związana z przepełnieniem bufora (Stack-based Buffer Overflow) może umożliwić zdalnemu, uwierzytelnionemu atakującemu wykonanie dowolnego kodu lub poleceń za pośrednictwem spreparowanych żądań HTTP. Warunkiem powodzenia ataku jest ominięcie ochrony stosu i mechanizmu ASLR. |
| Aktualizacja | TAK |
| Link | https://www.fortiguard.com/psirt/FG-IR-26-087 |
| Produkt | FortiSandbox od 5.0.0 do 5.0.2 FortiSandbox od 4.4.0 do 4.4.7 FortiSandbox 4.2 wszystkie wersje FortiSandbox 4.0 wszystkie wersje |
| Numer CVE | CVE-2025-53608 |
| Krytyczność | 4.6/10 |
| CVSS | AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N/E:P/RL:X/RC:C |
| Opis | Luka w zabezpieczeniach funkcji serwera LDAP FortiSandbox polegająca na niewłaściwej neutralizacji danych wejściowych podczas generowania strony internetowej („Cross-site Scripting”) może umożliwić uwierzytelnionemu, uprzywilejowanemu atakującemu wykonanie kodu za pośrednictwem spreparowanych żądań. |
| Aktualizacja | TAK |
| Link | https://www.fortiguard.com/psirt/FG-IR-26-091 |
| Produkt | FortiSwitchAXFixed 1.0.0 do 1.0.1 |
| Numer CVE | CVE-2026-22628 |
| Krytyczność | 5.1/10 |
| CVSS | AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L/E:X/RL:O/RC:C |
| Opis | Luka w zabezpieczeniach kontroli dostępu w FortiSwitchAXFixed może umożliwić uwierzytelnionemu administratorowi wykonywanie poleceń systemowych za pośrednictwem specjalnie spreparowanego pliku konfiguracyjnego SSH. |
| Aktualizacja | TAK |
| Link | https://www.fortiguard.com/psirt/FG-IR-26-085 |
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny