Fortinet heeft meerdere lekken in FortiSandbox gedicht, zowel in on‑premises omgevingen als in FortiSandbox Cloud. Twee daarvan zijn door het bedrijf als kritiek aangemerkt: CVE-2026-39813 en CVE-2026-39808. Door een OS command injection en een path‑traversal in de JRPC‑API kan een niet‑geauthenticeerde aanvaller via gemanipuleerde HTTP‑verzoeken eigen code of commando’s uitvoeren en zo de inlogbeveiliging omzeilen.

Daarnaast zijn nog enkele andere kwetsbaarheden aangepakt. Een path‑traversal maakte het mogelijk dat een geprivilegieerde super‑admin met CLI‑toegang via HTTP‑verzoeken mappen kon verwijderen. Ook zijn meerdere cross‑site‑scriptinglekken (zowel reflected als stored) verholpen, waarmee via aangepaste HTTP‑verzoeken XSS‑aanvallen konden worden uitgevoerd.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.