Alert GCSA-26064 - Vulnerabilita' in prodotti Fortinet

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 ****************************************************************** alert ID: GCSA-26064 data: 16 aprile 2026 titolo: Vulnerabilita' in prodotti Fortinet ****************************************************************** :: Descrizione del problema Fortinet ha pubblicato 26 avvisi di sicurezza che descrivono in dettaglio 27 vulnerabilita' nei suoi prodotti, delle quali due con gravita' "critica". CVE-2026-39813 (CVSSv3 Score 9.1) Unauthenticated Authentication bypass and Privilege escalation in FortiSandbox CVE-2026-39808 (CVSSv3 Score 9.1) OS Command Injection through API endpoint Entrambe le vulnerabilita' e potrebbero essere sfruttate senza autenticazione tramite richieste HTTP appositamente create. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Prodotti interessati FortiAnalyzer versioni precedenti alla 7.6.5 FortiAnalyzer versioni precedenti alla 7.4.9 FortiClientEMS versioni precedenti alla 7.4.6 FortiClientEMS versioni precedenti alla 7.2.13 FortiDDoS-F versioni precedenti alla 7.2.3 FortiManager versioni precedenti alla 7.6.5 FortiManager versioni precedenti alla 7.4.9 FortiNAC-F versioni precedenti alla 7.6.6 FortiNDR versioni precedenti alla 7.6.1 FortiNDR versioni precedenti alla 7.4.9 FortiOS versioni precedenti alla 7.6.5 FortiOS versioni precedenti alla 7.4.10 FortiPAM versioni precedenti alla 1.7.1 FortiProxy versioni precedenti alla 7.6.5 FortiProxy versioni precedenti alla 7.4.12 FortiSandbox versioni precedenti alla 4.4.9 (questa versione resta interessata dalla vulnerabilita' CVE-2026-27316) FortiSandbox versioni precedenti alla 5.0.6 FortiSOAR versioni precedenti alla 7.5.3 con File Content Extraction Connector versioni precedenti alla 1.3.1 FortiSOAR versioni precedenti alla 7.6.5 con File Content Extraction Connector versioni precedenti alla 1.3.1 FortiSwitchManager versioni precedenti alla 7.0.7 FortiSwitchManager versioni precedenti alla 7.2.8 FortiVoice versioni precedenti alla 7.0.2 FortiWeb versioni precedenti alla 7.6.7 FortiWeb versioni precedenti alla 8.0.4 :: Impatto Attacco all'integrita' dei dati (Data Manipulation) Bypass delle funzionalita' di sicurezza (SFB) Esecuzione remota di comandi o codice arbitrario (RCE) Acquisizione di privilegi piu' elevati (EoP) Cross-site Scripting (XSS) Denial of Service (DoS) SQL Injection (SQLi) Attacco alla confidenzialita' dei dati (ID) :: Soluzioni Si consiglia di applicare gli aggiornamenti seguendo le indicazioni del vendor pubblicate negli advisories. https://docs.fortinet.com/upgrade-tool/fortigate :: Riferimenti FortiGuard Labs - PSIRT Advisories https://www.fortiguard.com/psirt?filter=1&version=&keyword= FortiSandbox https://www.fortiguard.com/psirt/FG-IR-26-100 https://www.fortiguard.com/psirt/FG-IR-26-109 https://www.fortiguard.com/psirt/FG-IR-26-110 https://www.fortiguard.com/psirt/FG-IR-26-112 https://www.fortiguard.com/psirt/FG-IR-26-113 https://www.fortiguard.com/psirt/FG-IR-26-115 FortiClientEMS https://www.fortiguard.com/psirt/FG-IR-26-102 https://www.fortiguard.com/psirt/FG-IR-26-107 FortiSOAR https://www.fortiguard.com/psirt/FG-IR-26-101 https://www.fortiguard.com/psirt/FG-IR-26-103 https://www.fortiguard.com/psirt/FG-IR-26-104 https://www.fortiguard.com/psirt/FG-IR-26-105 https://www.fortiguard.com/psirt/FG-IR-26-106 https://www.fortiguard.com/psirt/FG-IR-26-116 https://www.fortiguard.com/psirt/FG-IR-26-117 FortiWeb https://www.fortiguard.com/psirt/FG-IR-26-108 https://www.fortiguard.com/psirt/FG-IR-26-114 https://www.fortiguard.com/psirt/FG-IR-26-127 FortiAnalyzer - FortiManager https://www.fortiguard.com/psirt/FG-IR-26-111 https://www.fortiguard.com/psirt/FG-IR-26-120 https://www.fortiguard.com/psirt/FG-IR-26-121 FortiNAC-F https://www.fortiguard.com/psirt/FG-IR-26-118 FortiDDoS-F https://www.fortiguard.com/psirt/FG-IR-26-119 FortiOS https://www.fortiguard.com/psirt/FG-IR-26-125 FortiOS - FortiPAM - FortiProxy - FortiSwitchManager https://www.fortiguard.com/psirt/FG-IR-26-122 FortiNDR - FortiVoice https://www.fortiguard.com/psirt/FG-IR-26-124 Axios npm Package Compromised https://www.fortiguard.com/psirt/FG-IR-26-126 Center for Internet Security (CIS) https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-fortinet-products-could-allow-for-arbitrary-code-execution_2026-035 SecurityWeek https://www.securityweek.com/fortinet-patches-critical-fortisandbox-vulnerabilities/ Mitre CVE I riferimenti CVE sono disponibili nell'advisory originale. GARR CERT Security Alert - subscribe/unsubscribe: http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert -----BEGIN PGP SIGNATURE----- iF0EAREIAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCaeCvIAAKCRDBnEyTZRJg Quk2AJoCYIPQYozBLHHa5mkcSS/kg3STOACgyO5m1uDk1IFHVcetHC4nbK7uvGY= =HZVI -----END PGP SIGNATURE-----