Ir para conteúdo

Alerta de Vulnerabilidade - Fortinet FortiSandbox

TIPO
Vulnerabilidade
SISTEMAS AFETADOS
Fortinet FortiSandbox
ECOSSISTEMA
Outro
CVSS v3.1 - Resumo Técnico
Vetor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CVSS 9.8 / 10 Crítico
Vetor de Ataque Rede Exploração remota via rede
Complexidade Baixa Fácil de explorar
Requisitos de Ataque Nenhum Sem pré-condições adicionais para exploração
Privilégios Nenhum Sem autenticação
Interação Nenhuma Não requer intervenção do utilizador
Impacto no sistema vulnerável
(C/I/A)
Alta / Alta / Alta Comprometimento total da confidencialidade, integridade e disponibilidade
Impacto em sistemas subsequentes
(C/I/A)
Nenhum / Nenhum / Nenhum O impacto permanece no âmbito do sistema vulnerável
Resumo Vulnerabilidade crítica (CVSS 9.8) de injeção de comandos do sistema operativo no componente API do Fortinet FortiSandbox. Um atacante remoto e não autenticado pode enviar pedidos HTTP especialmente manipulados para executar código ou comandos não autorizados no sistema afetado. A exploração não requer autenticação nem interação do utilizador e pode resultar no comprometimento total da confidencialidade, integridade e disponibilidade. 

Descrição
Foi identificada uma vulnerabilidade de injeção de comandos de sistema operativo (CWE-78), identificada como CVE-2026-39808/EUVD-2026-22338, no Fortinet FortiSandbox [1][2][3].
São afetadas as versões do FortiSandbox 4.4.0 a 4.4.8 [3]. A correção consta do aviso do fabricante FG-IR-26-100 [3].

Impacto
Um atacante remoto e não autenticado pode injetar comandos arbitrários através de uma API do FortiSandbox, obtendo execução de código no equipamento sem privilégios nem interação do utilizador [3][4]. A exploração pode conduzir ao comprometimento total do equipamento, com perda de confidencialidade, integridade e disponibilidade.

Resolução
Recomenda-se a atualização para a versão 4.4.9 ou superior [3].

Medidas adicionais recomendadas:
  • Restringir o acesso às interfaces de gestão e às API do FortiSandbox a redes de confiança, garantindo que o equipamento não se encontra exposto à Internet;
  • Monitorizar os logs do equipamento para identificar pedidos HTTP anómalos dirigidos às API.
Referências
[1] - https://nvd.nist.gov/vuln/detail/CVE-2026-39808
[2] - https://euvd.enisa.europa.eu/vulnerability/CVE-2026-39808
[3] - https://fortiguard.fortinet.com/psirt/FG-IR-26-100
Última atualização em 07-09-2022