La société – dont les récentes vulnérabilités ont été touchées par des exploits Zero Day et N Day – a également publié trois correctifs pour les failles de FortiOS et FortiAP.
Fortinet a publié un lot de correctifs pour ses produits lors du Patch Tuesday, notamment deux vulnérabilités critiques pouvant conduire à l’exécution de code à distance. Les failles de Fortinet, qu’elles soient zero-day ou n-day, ont été exploitées à plusieurs reprises dans le passé, les entreprises doivent donc déployer des correctifs dès que possible.
La faille dans FortiAuthenticator, identifiée comme CVE-2026-44277, a un score de gravité CVSS de 9,1 et est décrite comme un problème de contrôle d’accès inapproprié. Une exploitation réussie permet à des attaquants non authentifiés d’exécuter du code et des commandes non autorisés en envoyant des requêtes spécialement conçues.
Solution de gestion des identités et des accès (IAM), FortiAuthenticator sert de plaque tournante centrale pour l’authentification RADIUS, LDAP et SAML. Il s’intègre à Active Directory et prend en charge l’authentification unique et l’authentification multifacteur. Pour corriger cette nouvelle vulnérabilité, il est conseillé aux entreprises de mettre à niveau vers FortiAuthenticator 6.5.7, 6.6.9 ou 8.0.3 selon la version qu’elles utilisent.
La faille dans FortiSandbox est un problème d’autorisation manquante qui permet également à des attaquants non authentifiés d’exécuter du code et des commandes arbitraires via des requêtes HTTP. Suivie comme CVE-2026-26083, la vulnérabilité a également un score de gravité de 9,1.
FortiSandbox est une solution de détection des menaces conçue pour identifier les menaces du jour zéro en utilisant l’apprentissage automatique pour effectuer une analyse statique et dynamique des fichiers suspects dans un environnement isolé. Il s’intègre à d’autres produits de sécurité Fortinet tels que FortiGate et FortiMail et se décline en différentes variantes, notamment matérielles et virtuelles.
La vulnérabilité affecte toutes les versions prises en charge de FortiSandbox, FortiSandbox Cloud et FortiSandbox PaaS. Il est conseillé aux utilisateurs de passer à la version 4.4.9 ou 5.0.2, selon la version.
Les CVE-2026-26083 et CVE-2026-44277 ont été découverts en interne par Fortinet, il n’y a donc aucune preuve d’exploitation dans la nature pour l’instant. Cependant, des exploits pour d’autres vulnérabilités Fortinet RCE ont été adoptés par des attaquants dans le passé.
Par exemple, CVE-2026-21643, une vulnérabilité d’injection SQL dans FortiClient Endpoint Management Server (EMS) découverte en interne par Fortinet et corrigée en février, a fini par être exploitée sauvagement un mois plus tard. Cela a été suivi le mois dernier par l’exploitation d’une autre faille FortiClient EMS, cette fois-ci de type zero-day.
En plus des deux failles critiques, Fortinet a publié des correctifs pour les failles de gravité élevée et moyenne dans plusieurs produits : une vulnérabilité d’écriture hors limites dans FortiOS pouvant conduire à RCE (CVE-2025-53844), une vulnérabilité d’injection de commandes du système d’exploitation dans FortiAP et FortiAP-W2 (CVE-2025-53870) qui conduit à une élévation de privilèges, et une faille distincte d’injection de commandes du système d’exploitation dans FortiAP, FortiAP-U et FortiAP-W2 (CVE-2025-53680) pouvant conduire à RCE.
L’exploitation de ces failles nécessite une authentification, c’est pourquoi elles ne sont pas considérées comme critiques, mais les attaquants compromettant les informations d’identification de l’entreprise ne sont pas rares et doivent donc être traitées de toute urgence.
