Zespół CERT Polska informuje o krytycznej podatności w rozwiązaniu FortiSandbox.
Podatność, oznaczona jako CVE-2026-25089, wynika z braku odpowiedniego filtrowania danych wejściowych w interfejsie webowym. Umożliwia ona nieuwierzytelnionemu atakującemu zdalne wykonanie kodu lub poleceń systemowych poprzez przesłanie specjalnie spreparowanych żądań HTTP.
Podatność CVE-2026-25089 dotyczy wybranych gałęzi oprogramowania FortiSandbox (w tym wersji Cloud i PaaS):
FortiSandbox 5.0: wersje 5.0.0 do 5.0.5
FortiSandbox 4.4: wersje 4.4.0 do 4.4.8
FortiSandbox Cloud 5.0: wersje 5.0.4 do 5.0.5
FortiSandbox PaaS 5.0: wersje 5.0.4 do 5.0.5
Rekomendujemy niezwłoczną aktualizację oprogramowania do wersji pozbawionych podatności:
FortiSandbox 5.0: wersje 5.0.6 lub nowsze
FortiSandbox 4.4: wersje 4.4.9 lub nowsze
FortiSandbox Cloud 5.0: wersje 5.0.6 lub nowsze
FortiSandbox PaaS 5.0: wersje 5.0.6 lub nowsze
Szczegółowe informacje oraz pełne wytyczne dotyczące aktualizacji znajdują się w komunikacie producenta: FG-IR-26-141