CRITICAL🇬🇧 English

CVE-2026-39808

Command Injection w Fortinet FortiSandbox umożliwiający RCE

CVSS 9.8v3.1pub. 2026-04-14upd. 2026-04-22

Podatność typu OS command injection w Fortinet FortiSandbox w wersjach 4.4.0–4.4.8 umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie nieautoryzowanych poleceń systemowych. Krytyczny poziom CVSS 9.8 oraz brak wymogu uwierzytelnienia czynią tę podatność szczególnie niebezpieczną.

Pokaż oryginał (EN)

A improper neutralization of special elements used in an os command ('os command injection') vulnerability in Fortinet FortiSandbox 4.4.0 through 4.4.8 may allow attacker to execute unauthorized code or commands via <insert attack vector here>

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej neutralizacji znaków specjalnych używanych w poleceniach systemu operacyjnego (CWE-78). Atakujący może dostarczyć spreparowane dane wejściowe, które są następnie przekazywane do interpretera poleceń systemowych bez odpowiedniego oczyszczenia. Pozwala to na wstrzyknięcie i wykonanie dowolnych poleceń OS w kontekście podatnej aplikacji.

Skutki

Atakujący bez uwierzytelnienia może zdalnie wykonać dowolne polecenia systemowe na urządzeniu, co prowadzi do pełnego naruszenia poufności, integralności i dostępności systemu (RCE).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://fortiguard.fortinet.com/psirt/FG-IR-26-100). Do czasu aktualizacji zaleca się ograniczenie dostępu sieciowego do interfejsu zarządzania FortiSandbox wyłącznie do zaufanych hostów.

Kogo dotyczy

Fortinet FortiSandbox w wersjach 4.4.0 przez 4.4.8 włącznie

Uwagi

W referencjach widnieje publiczne repozytorium GitHub (samu-delucas/CVE-2026-39808) sugerujące istnienie publicznego kodu proof-of-concept, co może podwyższać realne ryzyko wykorzystania podatności.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Fortinet Fortisandbox

    APP
    Fortinet
    4.4.0 – 4.4.9
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Command Injection
CWE
Referencje

Powiązane podatności

CVE-2026-25089CRITICAL9.8PL ✓ten sam produkt

Command injection w Fortinet FortiSandbox — dostęp bez uwierzytelnienia

CVE-2026-26083CRITICAL9.8PL ✓ten sam produkt

Brak autoryzacji w Fortinet FortiSandbox umożliwia zdalne wykonanie kodu

CVE-2026-39813CRITICAL9.8ten sam produkt

A path traversal: '../filedir' vulnerability in Fortinet FortiSandbox 5.0.0 through 5.0.5, FortiSandbox 4.4.0 ...

CVE-2025-52436HIGH8.8ten sam produkt

An Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') vulnerability [CWE-79]...

CVE-2025-53949HIGH7.2ten sam produkt

An Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') vulnerability [C...