🔍 Contexte

Source : SOCRadar, publié le 17 juin 2026. Fortinet a divulgué plusieurs vulnérabilités critiques affectant FortiSandbox, son appliance d’analyse de fichiers suspects et de sandboxing. Deux failles ont été publiées en avril 2026 et une troisième en juin 2026.

🚨 Vulnérabilités identifiées

Trois CVE sont concernés, tous avec un score CVSS de 9.8 :

  • CVE-2026-39813 : Vulnérabilité de path traversal dans l’API JRPC de FortiSandbox. Permet à un attaquant non authentifié d’envoyer des requêtes HTTP forgées pour contourner l’authentification et escalader ses privilèges. Affecte FortiSandbox 5.0.0–5.0.5 et 4.4.0–4.4.8. Correctif : 5.0.6 ou 4.4.9.

  • CVE-2026-39808 : Injection de commandes OS dans un endpoint API de FortiSandbox. Exploitable sans authentification via des requêtes HTTP forgées. Des références à un proof-of-concept public sont mentionnées. Affecte FortiSandbox 4.4.0–4.4.8. Correctif : 4.4.9.

  • CVE-2026-25089 : Injection de commandes OS dans l’interface Web UI de FortiSandbox. Affecte FortiSandbox, FortiSandbox Cloud et FortiSandbox PaaS (versions 5.0.0–5.0.5 et 4.4.0–4.4.8, Cloud/PaaS 5.0.4–5.0.5). NVD inclut également FortiSandbox 4.2.x. Correctif : 5.0.6 ou 4.4.9.

🎯 Impact potentiel

Un attaquant exploitant ces failles pourrait :

  • Exécuter des commandes non autorisées sur le système
  • Accéder à des logs ou configurations sensibles
  • Établir une persistance sur l’appliance
  • Utiliser le positionnement réseau de confiance pour une reconnaissance interne
  • Perturber les workflows de sandboxing et de partage de verdicts malware

⚠️ Exploitation active

Le 16 juin 2026, la société de threat intelligence Defused a signalé une exploitation active des trois CVE. Les advisories Fortinet ne mentionnaient pas d’exploitation connue au moment de leur publication. Les indicateurs de compromission publics restent limités.

📋 Type d’article

Article de presse spécialisée à visée d’alerte CTI, présentant les détails techniques des vulnérabilités, les versions affectées, les correctifs disponibles et le statut d’exploitation active.

🧠 TTPs et IOCs détectés

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1548 — Abuse Elevation Control Mechanism (Privilege Escalation)
  • T1083 — File and Directory Discovery (Discovery)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)

IOC

🟡 Indice de vérification factuelle : 50/100 (moyenne)

  • ⬜ socradar.io — source non référencée (0pts)
  • ✅ 10189 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 3 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 6 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/3 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://socradar.io/blog/fortisandbox-system-auth-bypass-command-execution/