Fortinet修補FortiSandbox、FortiAuthenticator重大RCE漏洞

在FortiSandbox方面，最新漏洞是CVE-2026-26083，影響FortiSandbox、FortiSandbox Cloud及FortiSandbox PaaS，為一不當的全域授權（global authorization）漏洞。攻擊者可藉由發送HTTP請求在這些裝置上執行未授權程式碼或指令。受影響產品為FortiSandbox 4.4/5.0、FortiSandbox Cloud 5.0、23、24、FortiSandbox PaaS 23.1/23.3/23.4、22.1/22.2、21.3/21.4及FortiSandbox PaaS 4.4/5.0。

FortiAuthenticator方面，則為API端點存取控制不當漏洞CVE-2026-44277，該漏洞可讓未經驗證的攻擊者經由發送變造請求，執行未授權的程式碼或指令。受影響產品為FortiAuthenticator 6.5、6.6、8.0.0/8.0.2

CVE-2026-26083為Fortinet產品安全團隊發現。CVE-2026-44277也是Fortinet內部稽核中發現。兩漏洞風險值皆高達9.1。Fortinet未說明是否有漏洞濫用現象。

Fortinet已發布最新軟體版本，呼籲用戶儘速更新。最新漏洞不影響FortiAuthenticator Cloud，用戶無需動作。