PT-2026-32687 · Fortinet · Fortisandbox
Publicado
2026-04-14
·
Atualizado
2026-07-08
·
CVE-2026-39808
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do Software Vulnerável e Versões Afetadas
FortiSandbox versões 4.4.0 a 4.4.8
Description
Uma falha de injeção de comando de SO existe na API JRPC devido à neutralização inadequada do símbolo de pipe (
|) ao processar o parâmetro jid. Isso permite que um invasor remoto não autenticado execute código arbitrário com privilégios de root ao enviar uma requisição HTTP GET especialmente formulada para o endpoint /fortisandbox/job-detail/tracer-behavior. O problema ocorre porque o script de backend passa a variável jid diretamente para um comando de shell do sistema sem a sanitização adequada.Recommendations
Atualize o FortiSandbox para a versão 4.4.9 ou 5.0.0 e posteriores.
Restrinja o acesso às portas 443 e 8443 apenas a endereços IP administrativos confiáveis.
Bloqueie todo o tráfego para o caminho
/fortisandbox/job-detail/ proveniente de sub-redes internas ou externas gerais.
Como medida de mitigação temporária, evite usar o parâmetro jid no endpoint /fortisandbox/job-detail/tracer-behavior.Exploit
Correção
RCE
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fortisandbox