PT-2026-32687 · Fortinet · Fortisandbox

Publicado

2026-04-14

·

Atualizado

2026-07-08

·

CVE-2026-39808

CVSS v2.0

10

Crítica

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do Software Vulnerável e Versões Afetadas FortiSandbox versões 4.4.0 a 4.4.8
Description Uma falha de injeção de comando de SO existe na API JRPC devido à neutralização inadequada do símbolo de pipe (|) ao processar o parâmetro jid. Isso permite que um invasor remoto não autenticado execute código arbitrário com privilégios de root ao enviar uma requisição HTTP GET especialmente formulada para o endpoint /fortisandbox/job-detail/tracer-behavior. O problema ocorre porque o script de backend passa a variável jid diretamente para um comando de shell do sistema sem a sanitização adequada.
Recommendations Atualize o FortiSandbox para a versão 4.4.9 ou 5.0.0 e posteriores. Restrinja o acesso às portas 443 e 8443 apenas a endereços IP administrativos confiáveis. Bloqueie todo o tráfego para o caminho /fortisandbox/job-detail/ proveniente de sub-redes internas ou externas gerais. Como medida de mitigação temporária, evite usar o parâmetro jid no endpoint /fortisandbox/job-detail/tracer-behavior.

Exploit

Correção

RCE

OS Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

BDU:2026-05445
CVE-2026-39808

Produtos afetados

Fortisandbox