Fortinet修補沙箱系統指令注入漏洞

編號CVE-2026-25089由Fortinet產品安全部門研究人員發現及通報，為FortiSandbox產品的OS指令注入漏洞，CVSS風險值達9.1，源於Web介面的start vnc功能在處理輸入的JSON指令時，未進行適當的特殊字元過濾與中性化（Neutralization）。這讓攻擊者得以傳送變造的HTTP請求，透過輸入欄位傳送惡意OS命令，進而在Fortinet系統上未授權執行。

CVE-2026-25089影響FortiSandbox、FortiSandbox Cloud與FortiSandbox PaaS，FortiSandbox除最新的5.2版外都受影響。FortiSandbox Cloud、FortiSandbox PaaS則只影響5.0版，廠商已針對問題版本釋出安全更新。