19
Mai 2026
Alerta de Vulnerabilidade - Fortinet FortiAuthenticator
SISTEMAS AFETADOS
Fortinet FortiAuthenticator
| CVSS v4.0 — Resumo Técnico |
| Vetor |
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
| Vetor de Ataque |
Rede |
Exploração remota via rede |
| Complexidade |
Baixa |
Fácil de explorar |
| Privilégios |
Nenhum |
Sem autenticação |
| Interação |
Nenhuma |
Não requer intervenção do utilizador |
Impacto
(C/I/A) |
Alta / Alta / Alta |
Comprometimento total da confidencialidade, integridade e disponibilidade do componente vulnerável |
| Impacto lateral |
Nenhum / Nenhum / Nenhum |
Não há impacto direto em sistemas subsequentes; contudo, dado o papel central do FortiAuthenticator na cadeia de autenticação, o comprometimento pode ter efeitos indiretos significativos sobre toda a infraestrutura dependente |
| Resumo |
Vulnerabilidade crítica de controlo de acesso indevido (CWE-284) em endpoints da API do Fortinet FortiAuthenticator, com exploração remota, sem autenticação e sem interação do utilizador. Permite a execução de código ou comandos não autorizados através de pedidos especialmente manipulados, comprometendo totalmente a confidencialidade, integridade e disponibilidade de um componente central de identidade e MFA. O FortiAuthenticator Cloud não é afetado. |
Descrição
Foi identificada uma vulnerabilidade, identificada como CVE-2026-44277/EUVD-2026-29729, caracterizada por acesso indevido (Improper Access Control) identificada na API do Fortinet FortiAuthenticator, que afeta as versões 8.0, 6.6 e 6.5 [1][2][3]. O FortiAuthenticator Cloud não é afetado por esta anomalia.
Impacto
Através desta vulnerabilidade, um atacante remoto e sem autenticação poderá enviar pedidos web especialmente manipulados, permitindo assim a execução de código (RCE) ou comandos de administração através da API [3].
Resolução
Recomenda-se a atualização imediata para as versões seguras: FortiAuthenticator 8.0.3, 6.6.9 ou 6.5.7. Na impossibilidade de executar a melhoria de firmware a curto prazo, deve-se desativar o acesso à API em interfaces públicas [3].
Referências
[1] -
https://nvd.nist.gov/vuln/detail/CVE-2026-44277[2] -
https://euvd.enisa.europa.eu/vulnerability/CVE-2026-44277[3] -
https://www.fortiguard.com/psirt/FG-IR-26-128
