[TLP:CLEAR] Fortinet opravuje 11 zraniteľností v rôznych produktoch
Fortinet opravuje 11 zraniteľností v rôznych produktoch. Najzávažnejšie z nich sú uvedené nižšie. Súčasťou oznámenia je aj zraniteľnosť CVE-2026-31431 (Copy Fail), o ktorej sme už v minulosti informovali. Spoločnosť Fortinet aktuálne preveruje jej možný dopad na svoje produkty, pričom nateraz nebola potvrdená v žiadnom z nich [12]. Jednotlivé produkty a ich opravené verzie: FortiNDR: 7.6.3, 7.4.10 [1] FortiMail: 7.6.4, 7.4.6, 7.2.9 [2] FortiOS: 7.6.4, 7.4.9, 7.2.12 [3] FortiTokenAndroid: 6.4.0 [4] FortiAP: 7.6.3, 7.4.6 [5][10] FortiAP-U: 7.0.6 [10] FortiAP-W2: 7.4.5, 7.2.6 [5][10] FortiSandbox: 5.0.2, 4.4.9 [6] FortiSandbox Cloud: 5.0.6 [6] FortiSandbox PaaS: 5.0.2, 4.4.9 [6] FortiAuthenticator: 8.0.3, 6.6.9, 6.5.7 [7] FortiClientWindows: 7.4.3 [8] FortiAnalyzer: 7.6.5, 7.4.9 [9] FortiManager: 7.6.5, 7.4.9 [9] FortiDeceptor: 6.3.0, 6.2.0, 6.1.0 [11]
Neautentizovanému vzdialenému útočníkovi je v produktoch FortiSandbox, FortiSandbox Cloud a FortiSandbox PaaS umožnené spúšťať ľubovoľné príkazy prostredníctvom špeciálne vytvorených HTTP požiadaviek smerovaných na webové rozhranie [6].
Zraniteľnosť sa nachádza v produktoch:
- FortiSandbox vo verziách (>= 4.4.0 AND < 4.4.9) OR (>= 5.0.0 AND < 5.0.2)
- FortiSandbox Cloud vo verziách (>= 23.0.0) OR (>= 24.0.0) OR (>= 5.0.2 AND < 5.0.6)
- FortiSandbox PaaS
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:F/RL:O/RC:C
Viac informácií:
- CVE-2026-26083 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-862: Missing Authorization at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 12. 5. 2026.
Neautentizovanému vzdialenému útočníkovi je v produkte FortiAuthenticator v dôsledku nesprávneho riadenia prístupu umožnené zasielaním špeciálne vytvorených požiadaviek na API koncové body spustiť ľubovoľný kód [7].
Zraniteľnosť sa nachádza v produkte FortiAuthenticator vo verziách (>= 8.0.0 AND < 8.0.3) OR (>= 6.6.0 AND < 6.6.9) OR (>= 6.5.0 AND < 6.5.7).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:F/RL:O/RC:C
Viac informácií:
- CVE-2026-44277 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-284: Improper Access Control at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 12. 5. 2026.
Vzdialenému autentizovanému útočníkovi je v operačnom systéme FortiOS umožnené získať zvýšené oprávnenia a spustiť kód na zariadení FortiGate v dôsledku zápisu mimo vyhradenú pamäť v procese zabezpečujúcom komunikáciu prostredníctvom CAPWAP protokolu [3].
Zraniteľnosť sa nachádza v produkte FortiOS vo verziách (>=7.6.0 AND <7.6.4) OR (>=7.4.0 AND <7.4.9) OR (>=7.2.0 AND <7.2.12).
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E:P/RL:O/RC:C
Viac informácií:
- CVE-2025-53844 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-787: Out-of-bounds Write at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 12. 5. 2026.
Odkazy
- [1] https://www.fortiguard.com/psirt/FG-IR-26-134
- [2] https://www.fortiguard.com/psirt/FG-IR-26-132
- [3] https://www.fortiguard.com/psirt/FG-IR-26-123
- [4] https://www.fortiguard.com/psirt/FG-IR-26-130
- [5] https://www.fortiguard.com/psirt/FG-IR-26-133
- [6] https://www.fortiguard.com/psirt/FG-IR-26-136
- [7] https://www.fortiguard.com/psirt/FG-IR-26-128
- [8] https://www.fortiguard.com/psirt/FG-IR-26-129
- [9] https://www.fortiguard.com/psirt/FG-IR-26-137
- [10] https://www.fortiguard.com/psirt/FG-IR-26-131
- [11] https://www.fortiguard.com/psirt/FG-IR-26-138
- [12] https://www.fortiguard.com/psirt/FG-IR-26-139
Za CESNET-CERTS Henrieta Paločková dňa 13. 5. 2026.
