Alerta de Vulnerabilidade - FortiCloud SSO

Vulnerabilidade crítica CVE-2026-24858/EUVD-2026-4712 de bypass de autenticação relacionada com logins administrativos via FortiOS single sign-on (SSO) [1][2][3]. 
A exploração depende do FortiCloud SSO para login administrativo estar ativado. Apesar de não estar ativo "de fábrica", pode ficar ativo aquando do registo do equipamento no FortiCare via GUI.

Versões afetadas [3]:

Versão	Versão Afetada	Solução
FortiAnalyzer 7.6	7.6.0 até 7.6.5	7.6.6 ou superior
FortiAnalyzer 7.4	7.4.0 até 7.4.9	7.4.10 ou superior
FortiAnalyzer 7.2	7.2.0 até 7.2.11	7.2.12 ou superior
FortiAnalyzer 7.0	7.0.0 até 7.0.15	7.0.16 ou superior
FortiAnalyzer 6.4	Não afetado	N/A
FortiManager 7.6	7.6.0 até 7.6.5	7.6.6 ou superior
FortiManager 7.4	7.4.0 até 7.4.9	7.4.10 ou superior
FortiManager 7.2	7.2.0 até 7.2.11	7.2.13 ou superior
FortiManager 7.0	7.0.0 até 7.0.15	7.0.16 ou superior
FortiManager 6.4	Não afetado	N/A
FortiOS 8.0	Não afetado	N/A
FortiOS 7.6	7.6.0 até 7.6.5	7.6.6 ou superior
FortiOS 7.4	7.4.0 até 7.4.10	7.4.11 ou superior
FortiOS 7.2	7.2.0 até 7.2.12	7.2.13 ou superior
FortiOS 7.0	7.0.0 até 7.0.18	7.0.19 ou superior
FortiOS 6.4	Não afetado	N/A
FortiProxy 7.6	7.6.0 até 7.6.4	7.6.6 ou superior
FortiProxy 7.4	7.4.0 até 7.4.12	7.4.13 ou superior
FortiProxy 7.0 / 7.2	Todas as versões	Migrar para versão corrigida
FortiWeb 8.0	8.0.0 até 8.0.3	8.0.4 ou superior
FortiWeb 7.6	7.6.0 até 7.6.6	7.6.7 ou superior
FortiWeb 7.4	7.4.0 até 7.4.11	7.4.12 ou superior

Recomenda-se atualizar para as versões corrigidas mencionadas na Descrição deste Alerta e efetuar os procedimentos descritos pelo fabricantes em [3]. A referência [3] também menciona indicadores de comprometimento (IoCs) que devem ser considerados.

[1] - https://nvd.nist.gov/vuln/detail/CVE-2026-24858
[2] - https://euvd.enisa.europa.eu/vulnerability/EUVD-2026-4712
[3] - https://www.fortiguard.com/psirt/FG-IR-26-060