Se ha descubierto una vulnerabilidad de severidad crítica en productos Fortinet. Un actor malicioso podría ejecutar comandos arbitrarios de forma remota en los sistemas afectados mediante el envío de solicitudes HTTP diseñadas específicamente.
Productos afectados
- FortiSandbox: versiones 5.0.0 a 5.0.5.
- FortiSandbox: versiones 4.4.0 a 4.4.8.
- FortiSandbox: todas las versiones 4.2.
- FortiSandbox Cloud: versiones 5.0.4 a 5.0.5.
- FortiSandbox PaaS: versiones 5.0.4 a 5.0.5.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2026-25089: con una puntuación de 9.1 en CVSS v3.1. Existe una vulnerabilidad de inyección de comandos del sistema operativo debido a la neutralización inadecuada de elementos especiales en comandos del sistema. Un actor malicioso remoto y no autenticado podría enviar solicitudes HTTP manipuladas para ejecutar comandos no autorizados en el sistema afectado.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias