Se han descubierto vulnerabilidades de severidad crítica y alta en productos Fortinet. Un actor malicioso podría realizar la ejecución remota de código, elevar privilegios en el sistema o ejecutar comandos no autorizados mediante la manipulación de solicitudes.
Productos afectados
- FortiSandbox: versiones 4.4.0 a 4.4.8 y versiones 5.0.0 a 5.0.5.
- FortiDDoS-F: versiones 7.2.1 y 7.2.2.
- FortiClientEMS: versión 7.0, versiones 7.2 anteriores a 7.2.13 y versiones 7.4 anteriores a 7.4.6.
- FortiAnalyzer Cloud: versiones 7.6 anteriores a 7.6.5.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-39808: con una puntuación de 9.1 en CVSS v3.1. Existe una vulnerabilidad de inyección de comandos del sistema operativo. Un actor malicioso remoto y no autenticado podría enviar solicitudes diseñadas para ejecutar código o comandos no autorizados con el fin de comprometer la integridad del sistema.
CVE-2026-39813: con una puntuación de 9.1 en CVSS v3.1. Existe una vulnerabilidad de salto de directorio. Un actor malicioso remoto y no autenticado podría manipular las rutas de acceso a archivos para lograr una escalada de privilegios dentro de la aplicación.
CVE-2026-39815: con una puntuación de 7.9 en CVSS v3.1. Existe una vulnerabilidad de inyección SQL mediante la neutralización inadecuada de elementos especiales. Un actor malicioso remoto podría enviar solicitudes HTTP especialmente diseñadas para ejecutar comandos no autorizados en la base de datos.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias