Attackers Exploit Three Fortinet FortiSandbox Flaws, One Patched Last Week

Exploitation active des vulnérabilités de Fortinet FortiSandbox

Des cyberattaquants exploitent activement trois vulnérabilités critiques affectant les appliances FortiSandbox. Bien que Fortinet ait publié des correctifs, ces failles permettent à des attaquants non authentifiés de compromettre les systèmes ciblés via des requêtes HTTP spécialement conçues.

Points clés :

• Les trois vulnérabilités présentent un score CVSS de 9.1 (critique).
• L’exploitation de CVE-2026-25089 semble avoir été générée par une intelligence artificielle, bien que le code actuel soit défectueux.
• Les attaquants privilégient de plus en plus les appliances Fortinet, comme en témoigne la récente exploitation active de la faille CVE-2026-35616 dans FortiClient EMS.

Vulnérabilités identifiées :

• CVE-2026-39813 : Vulnérabilité de type “path traversal” dans l’API JRPC, permettant de contourner l’authentification.
• CVE-2026-39808 : Injection de commandes système permettant l’exécution de code non autorisé.
• CVE-2026-25089 : Injection de commandes système via l’interface WEB (impacte FortiSandbox, FortiSandbox Cloud et PaaS).

Recommandations :

• Appliquer immédiatement les correctifs de sécurité fournis par Fortinet pour toutes les versions et services de FortiSandbox concernés.
• Surveiller les logs réseau à la recherche de requêtes HTTP suspectes ou inhabituelles ciblant l’API ou l’interface d’administration.
• Maintenir une veille active sur les correctifs de l’éditeur pour l’ensemble du parc Fortinet.

Source