Fortinet heeft een zwakke plek gedicht in FortiPortal. Wie FortiPortal 7.0.x, 7.2.0–7.2.8 of 7.4.0–7.4.7 draait, liep risico door onjuist afgeschermde API‑endpoints. Een aanvaller met inloggegevens op organisatieniveau kon via slim gemodelleerde HTTP‑verzoeken gevoelige netwerkconfiguraties inzien. Het lek kreeg CVE‑2026‑49938, een CVSS‑score 6.2 (medium), en is op 9 juni 2026 gepubliceerd. Vooralsnog zijn er geen aanwijzingen voor actief misbruik. Aanbevolen updates: 7.4.8 (of hoger) en 7.2.9 (of hoger). De 7.0‑tak vereist migratie naar een gefixeerde release. (fortiguard.fortinet.com)

Wat staat er precies op het spel? FortiPortal is een multi‑tenant beheer- en analyseportal voor MSSP’s en grotere organisaties. Het integreert met FortiManager en FortiAnalyzer en biedt gedelegeerde toegang tot onder meer FortiGate‑configuraties. Juist daarom zijn de via de API benaderbare data – denk aan firewallregels, VPN‑instellingen en topologie‑informatie – zo gevoelig. (fortinet.com)

Wie is geraakt en hoe? Het gaat om geauthenticeerde, maar niet per se beheerder‑accounts: een “organization user” met beperkte rechten kan al te veel zien. Dat maakt goed rolbeheer en strikte machtigingen cruciaal, zeker in omgevingen met veel tenants. (fortiguard.fortinet.com)

Aanpak in het kort

• Update nu: naar 7.4.8+ of 7.2.9+. Draai je nog 7.0.x, plan dan een migratiepad naar een ondersteunde gefixeerde versie. (fortiguard.fortinet.com)
• Beperk blootstelling: plaats FortiPortal achter een firewall of WAF, maak beheerinterfaces alleen vanaf vertrouwde beheersegmenten bereikbaar, en dwing SSO/MFA af voor alle beheerders. (fortinetweb.s3.amazonaws.com)
• Scherp je rol- en rechtenmodel aan: hanteer least privilege en voorkom brede tenant‑toegang als die niet strikt nodig is. Review periodiek of toegewezen rollen nog kloppen. (fortinetweb.s3.amazonaws.com)
• Verhoog zichtbaarheid: log en alarmeer op API‑gebruik, aanmeldpogingen en privilege‑wijzigingen. Stuur logs centraal weg en controleer actief op afwijkingen. (fortinetweb.s3.amazonaws.com)

Korte achtergrond
Dit is niet de eerste FortiPortal‑kwetsbaarheid van de afgelopen tijd. In 2025 werd een path‑traversal‑fout verholpen (CVE‑2025‑24470) waarmee een niet‑ingelogde aanvaller broncode kon opvragen. Destijds adviseerde Fortinet te upgraden naar 7.4.3+ en 7.2.7+. Het onderstreept het belang van tijdige updates en strakke segmentatie rond beheerplatforms. (fortiguard.fortinet.com)

Tot slot
Houd Fortinets PSIRT‑pagina in de gaten voor updates en eventuele signalen van misbruik. Plan updates gecontroleerd, valideer na installatie en verscherp waar nodig tijdelijk je monitoring tot de wijziging stabiel draait. (fortiguard.fortinet.com)

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.