Podatności te, oznaczone jako CVE-2026-44277 oraz CVE-2026-26083, wynikają z niewłaściwej kontroli dostępu i umożliwiają nieuwierzytelnionemu atakującemu wykonanie nieautoryzowanego kodu lub poleceń w systemie poprzez wysłanie specjalnie sformatowanych żądań HTTP.
Podatność CVE-2026-44277 dotyczy FortiAuthenticator w wersjach:
8.0.0 oraz 8.0.2
6.6.0 do 6.6.8
6.5.0 do 6.5.6
Podatność CVE-2026-26083 dotyczy FortiSandbox (w tym wersji Cloud i PaaS) w wersjach:
5.0.0 do 5.0.1
4.4.0 do 4.4.8
FortiSandbox Cloud 23 oraz 24 (wszystkie)
FortiSandbox PaaS (wiele wersji)
Rekomendujemy niezwłoczną aktualizację oprogramowania do wersji naprawczych:
FortiAuthenticator: wersje 8.0.3, 6.6.9 lub 6.5.7.
FortiSandbox: wersje 5.0.2, 4.4.9 lub przejście na aktualne wersje w przypadku rozwiązań Cloud/PaaS.
Szczegółowe informacje oraz wytyczne dotyczące aktualizacji znajdują się w komunikatach producenta: FG-IR-26-128 (https://fortiguard.fortinet.com/psirt/FG-IR-26-128) oraz FG-IR-26-136 (https://fortiguard.fortinet.com/psirt/FG-IR-26-136).