Ir para conteúdo

Alerta de Vulnerabilidade - Fortinet FortiSandbox

19 Mai 2026

Alerta de Vulnerabilidade - Fortinet FortiSandbox

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
Fortinet FortiSandbox
ECOSSISTEMA
Outro
CVSS v4.0 — Resumo Técnico
Vetor CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Vetor de Ataque Rede Exploração remota via rede
Complexidade Baixa Fácil de explorar
Privilégios Nenhum Sem autenticação
Interação Nenhuma Não requer intervenção do utilizador
Impacto
(C/I/A)		 Alta / Alta / Alta Comprometimento total da confidencialidade, integridade e disponibilidade do componente vulnerável
Impacto lateral Nenhum / Nenhum / Nenhum Não há impacto formal em sistemas subsequentes; contudo, o acesso não autorizado a um sistema de análise de malware pode expor amostras, resultados e telemetria de segurança sensíveis da organização
Resumo Vulnerabilidade crítica de autorização em falta (CWE-862) na Web UI do Fortinet FortiSandbox, afetando as variantes on-premises, Cloud e PaaS. Sem autenticação e sem interação do utilizador, um atacante remoto pode enviar pedidos HTTP especialmente forjados para executar código ou comandos não autorizados, comprometendo totalmente a confidencialidade, integridade e disponibilidade.

Descrição
Foi identificada uma vulnerabilidade crítica de controlo de autorizações incorreto, identificada como CVE-2026-26083/EUVD-2026-29550, que afeta os sistemas [1][2][3]:
  • FortiSandbox (on-premises): As versões 5.0.0 a 5.0.1 devem ser atualizadas para a versão 5.0.2 ou superior. As versões 4.4.0 a 4.4.8 devem ser atualizadas para a versão 4.4.9 ou superior.
  • FortiSandbox Cloud: A versão Cloud 5.0, nas releases 5.0.2 a 5.0.5, deve ser atualizada para a 5.0.6 ou superior. As versões Cloud 24 e Cloud 23, em todas as suas releases, não têm correção disponível e devem ser migradas para uma versão corrigida.
  • FortiSandbox PaaS: A versão PaaS 5.0 nas releases 5.0.0 a 5.0.1 deve ser atualizada para a 5.0.2 ou superior. A versão PaaS 4.4 nas releases 4.4.5 a 4.4.8 deve ser atualizada para a 4.4.9 ou superior. As versões PaaS 23.4, 23.3, 23.1, 22.2, 22.1, 21.4 e 21.3, em todas as suas versões, devem ser migradas  para uma versão corrigida, uma vez que não existe correção disponível para estas versões.
Impacto
Esta vulnerabilidade pode ser explorada por atacantes remotos e não autenticados, permitindo contornar os mecanismos de acesso do sistema base. Consequentemente, poderá ser possível a injeção e execução  de comandos arbitrários ou código malicioso sobre o sistema visado [3].

Resolução
Recomenda-se a aplicação das correções lançadas pela Fortinet nas instâncias aplicáveis [3].

Referências
[1] - https://nvd.nist.gov/vuln/detail/CVE-2026-26083
[2] - https://euvd.enisa.europa.eu/vulnerability/CVE-2026-26083
[3] - https://fortiguard.com/psirt/FG-IR-26-136
Última atualização em 07-09-2022