Bei Fortinet betreffen die beiden kritischen Schwachstellen unterschiedliche Produkte. Die erste, geführt als CVE-2026-44277 mit einem CVSS-Wert von 9.1, ist eine fehlerhafte Zugriffskontrolle in FortiAuthenticator. Sie lässt sich aus der Ferne und ohne Authentifizierung über speziell präparierte Anfragen ausnutzen. FortiAuthenticator Cloud ist laut Fortinet nicht betroffen, sodass Kunden dieser Variante nichts unternehmen müssen.
Die zweite kritische Lücke, CVE-2026-26083 (CVSS-Wert 9.1), ist eine fehlende Autorisierungsprüfung in FortiSandbox, FortiSandbox Cloud und der Web-Oberfläche von FortiSandbox PaaS. Nach Angaben von Fortinet können entfernte, nicht authentifizierte Angreifer präparierte HTTP-Anfragen an die verwundbaren Geräte senden, um Code oder Befehle auszuführen.
Daneben behob Fortinet eine als hoch eingestufte Out-of-Bounds-Write-Schwachstelle (CVE-2025-53844) im capwap-Daemon von FortiOS, über die sich auf FortiGate-Geräten Code ausführen ließe. Voraussetzung ist laut Hersteller, dass der Angreifer ein authentifiziertes FortiAP-, FortiExtender- oder FortiSwitch-Gerät kontrolliert. Hinzu kommen Korrekturen für sieben Schwachstellen mittleren Schweregrads, die unter anderem FortiDeceptor, FortiAP, FortiAnalyzer, FortiManager, FortiMail und FortiNDR betreffen.
Ivanti veröffentlichte vier Sicherheitshinweise zu sieben Fehlern. Die schwerwiegendste Lücke, CVE-2026-8043 mit einem CVSS-Wert von 9.6, ist eine externe Kontrolle eines Dateinamens in Xtraction. Sie lässt sich aus der Ferne ausnutzen, um vertrauliche Dateien zu lesen und beliebige HTML-Dateien in ein Web-Verzeichnis zu schreiben.
Zusätzlich schloss Ivanti vier als hoch eingestufte Schwachstellen: eine SQL-Injection und eine fehlerhafte Rechtevergabe im Endpoint Manager, eine OS-Command-Injection im Virtual Traffic Manager sowie eine Race Condition im Secure Access Client. Eine erfolgreiche Ausnutzung dieser Fehler könnte laut Ivanti zu Rechteausweitung und Remote-Code-Ausführung führen.