Defused Cyber hat auf X mitgeteilt, dass in den vergangenen 24 Stunden Angriffe auf drei Sicherheitslücken in Fortinet FortiSandbox beobachtet wurden. Genannt werden CVE-2026-39813, CVE-2026-39808 und CVE-2026-25089.
CVE-2026-39813 mit einem CVSS-Wert von 9,1 beschreibt eine Path-Traversal-Schwachstelle in der FortiSandbox-JRPC-API. Laut Quelltext kann ein nicht authentifizierter Angreifer die Authentifizierung über speziell präparierte HTTP-Anfragen umgehen.
Die zweite Lücke, CVE-2026-39808, ebenfalls mit CVSS 9,1, ist eine Betriebssystem-Kommandoinjektion. Über manipulierte HTTP-Anfragen kann ein nicht authentifizierter Angreifer dadurch nicht autorisierten Code oder nicht autorisierte Befehle ausführen. Fortinet hatte beide Schwachstellen im April 2026 gepatcht.
Bei CVE-2026-25089, ebenfalls mit einem CVSS-Wert von 9,1, handelt es sich nach Angaben von Fortinet ebenfalls um eine Betriebssystem-Kommandoinjektion. Betroffen sind FortiSandbox, FortiSandbox Cloud sowie die Weboberfläche von FortiSandbox PaaS. Ein nicht authentifizierter Angreifer kann über gezielt gestaltete HTTP-Anfragen nicht autorisierte Befehle ausführen. Diese Schwachstelle wurde erst vergangene Woche behoben.
Defused Cyber zufolge zeigt der Exploit für CVE-2026-25089 nicht nur Anzeichen dafür, mit Hilfe eines Modells für künstliche Intelligenz entwickelt worden zu sein, sondern ist zudem fehlerhaft. Ein funktionierender Exploit für diese Schwachstelle wurde demnach bislang nicht öffentlich bekannt gemacht.
Der Quelltext ordnet die aktuelle Entwicklung in ein größeres Muster ein: Schwachstellen in Fortinet-Appliances sind in den vergangenen Jahren verstärkt zum Ziel von Angreifern geworden. Im April 2026 veröffentlichte Fortinet außerplanmäßige Patches für die kritische Schwachstelle CVE-2026-35616 in FortiClient EMS. Fortinet erklärte damals, dass diese Lücke mit einem CVSS-Wert von 9,1 bereits aktiv ausgenutzt werde.