Fortinet, einer der führenden Anbieter von Netzwerk- und Cloud-Sicherheitslösungen, hat eine bedeutende Sicherheitsmitteilung veröffentlicht. Das Unternehmen adressierte zwei kritische Schwachstellen in FortiSandbox, seinem Sandboxing- und Analyse-System zur Malware-Detektion.
Die erste kritische Lücke trägt die Bezeichnung CVE-2026-39813 und betrifft die JRPC-API von FortiSandbox. Diese Schwachstelle ermöglicht es Angreifern, die Authentifizierungsmechanismen zu umgehen — ein erhebliches Sicherheitsrisiko. Die zweite kritische Lücke, CVE-2026-39808, ist ein Command-Injection-Fehler, der beliebige Befehle und Code-Ausführung auf dem System erlaubt. Beide Schwachstellen haben einen CVSS-Score von 9.1, was maximale Kritikalität anzeigt. Besonders besorgniserregend ist die Tatsache, dass diese Lücken ohne vorherige Authentifizierung über speziell manipulierte HTTP-Anfragen ausgenutzt werden können.
Neben FortiSandbox patchte Fortinet auch CVE-2026-22828, eine High-Severity-Pufferüberlauffunktion in FortiAnalyzer Cloud. Diese Schwachstelle könnte zu Ferncode-Ausführung führen, erfordert aber laut Fortinet erheblichen Aufwand wegen ASLR-Schutzmaßnahmen und Netzwerk-Segmentierung.
Zusätzlich wurden zwei SQL-Injection-Lücken in FortiDDoS-F und FortiClientEMS gepatcht. Diese ermöglichen die Ausführung beliebiger SQL-Queries gegen die Datenbank, erfordern aber Authentifizierung.
Die restlichen 21 Schwachstellen sind mittlerer oder niedriger Kritikalität und betreffen verschiedene Angriffsszenarien wie Denial-of-Service, Cross-Site-Scripting, Pfad-Traversal, Informationspreisgabe und Authentifizierungsumsgehung.
Fortinet meldet, dass bislang kein Hinweis auf aktive Ausbeutung dieser Lücken in der freien Wildbahn besteht. Nichtsdestotrotz sollten Administratoren die Patches zeitnah einspielen. Deutsche Unternehmen, insbesondere solche mit kritischen Infrastrukturen oder sensiblen Daten, sollten ihre Fortinet-Systeme priorisiert aktualisieren. Die Patches stehen auf Fortnets PSIRT-Website zur Verfügung.