Alert GCSA-26064 - Vulnerabilita' in prodotti Fortinet
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
******************************************************************
alert ID: GCSA-26064
data: 16 aprile 2026
titolo: Vulnerabilita' in prodotti Fortinet
******************************************************************
:: Descrizione del problema
Fortinet ha pubblicato 26 avvisi di sicurezza che descrivono in dettaglio 27 vulnerabilita' nei suoi prodotti,
delle quali due con gravita' "critica".
CVE-2026-39813 (CVSSv3 Score 9.1)
Unauthenticated Authentication bypass and Privilege escalation in FortiSandbox
CVE-2026-39808 (CVSSv3 Score 9.1)
OS Command Injection through API endpoint
Entrambe le vulnerabilita' e potrebbero essere sfruttate senza autenticazione tramite richieste HTTP appositamente create.
Maggiori informazioni sono disponibili alla sezione "Riferimenti".
:: Prodotti interessati
FortiAnalyzer versioni precedenti alla 7.6.5
FortiAnalyzer versioni precedenti alla 7.4.9
FortiClientEMS versioni precedenti alla 7.4.6
FortiClientEMS versioni precedenti alla 7.2.13
FortiDDoS-F versioni precedenti alla 7.2.3
FortiManager versioni precedenti alla 7.6.5
FortiManager versioni precedenti alla 7.4.9
FortiNAC-F versioni precedenti alla 7.6.6
FortiNDR versioni precedenti alla 7.6.1
FortiNDR versioni precedenti alla 7.4.9
FortiOS versioni precedenti alla 7.6.5
FortiOS versioni precedenti alla 7.4.10
FortiPAM versioni precedenti alla 1.7.1
FortiProxy versioni precedenti alla 7.6.5
FortiProxy versioni precedenti alla 7.4.12
FortiSandbox versioni precedenti alla 4.4.9 (questa versione resta interessata dalla vulnerabilita' CVE-2026-27316)
FortiSandbox versioni precedenti alla 5.0.6
FortiSOAR versioni precedenti alla 7.5.3 con File Content Extraction Connector versioni precedenti alla 1.3.1
FortiSOAR versioni precedenti alla 7.6.5 con File Content Extraction Connector versioni precedenti alla 1.3.1
FortiSwitchManager versioni precedenti alla 7.0.7
FortiSwitchManager versioni precedenti alla 7.2.8
FortiVoice versioni precedenti alla 7.0.2
FortiWeb versioni precedenti alla 7.6.7
FortiWeb versioni precedenti alla 8.0.4
:: Impatto
Attacco all'integrita' dei dati (Data Manipulation)
Bypass delle funzionalita' di sicurezza (SFB)
Esecuzione remota di comandi o codice arbitrario (RCE)
Acquisizione di privilegi piu' elevati (EoP)
Cross-site Scripting (XSS)
Denial of Service (DoS)
SQL Injection (SQLi)
Attacco alla confidenzialita' dei dati (ID)
:: Soluzioni
Si consiglia di applicare gli aggiornamenti
seguendo le indicazioni del vendor
pubblicate negli advisories.
https://docs.fortinet.com/upgrade-tool/fortigate
:: Riferimenti
FortiGuard Labs - PSIRT Advisories
https://www.fortiguard.com/psirt?filter=1&version=&keyword=
FortiSandbox
https://www.fortiguard.com/psirt/FG-IR-26-100
https://www.fortiguard.com/psirt/FG-IR-26-109
https://www.fortiguard.com/psirt/FG-IR-26-110
https://www.fortiguard.com/psirt/FG-IR-26-112
https://www.fortiguard.com/psirt/FG-IR-26-113
https://www.fortiguard.com/psirt/FG-IR-26-115
FortiClientEMS
https://www.fortiguard.com/psirt/FG-IR-26-102
https://www.fortiguard.com/psirt/FG-IR-26-107
FortiSOAR
https://www.fortiguard.com/psirt/FG-IR-26-101
https://www.fortiguard.com/psirt/FG-IR-26-103
https://www.fortiguard.com/psirt/FG-IR-26-104
https://www.fortiguard.com/psirt/FG-IR-26-105
https://www.fortiguard.com/psirt/FG-IR-26-106
https://www.fortiguard.com/psirt/FG-IR-26-116
https://www.fortiguard.com/psirt/FG-IR-26-117
FortiWeb
https://www.fortiguard.com/psirt/FG-IR-26-108
https://www.fortiguard.com/psirt/FG-IR-26-114
https://www.fortiguard.com/psirt/FG-IR-26-127
FortiAnalyzer - FortiManager
https://www.fortiguard.com/psirt/FG-IR-26-111
https://www.fortiguard.com/psirt/FG-IR-26-120
https://www.fortiguard.com/psirt/FG-IR-26-121
FortiNAC-F
https://www.fortiguard.com/psirt/FG-IR-26-118
FortiDDoS-F
https://www.fortiguard.com/psirt/FG-IR-26-119
FortiOS
https://www.fortiguard.com/psirt/FG-IR-26-125
FortiOS - FortiPAM - FortiProxy - FortiSwitchManager
https://www.fortiguard.com/psirt/FG-IR-26-122
FortiNDR - FortiVoice
https://www.fortiguard.com/psirt/FG-IR-26-124
Axios npm Package Compromised
https://www.fortiguard.com/psirt/FG-IR-26-126
Center for Internet Security (CIS)
https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-fortinet-products-could-allow-for-arbitrary-code-execution_2026-035
SecurityWeek
https://www.securityweek.com/fortinet-patches-critical-fortisandbox-vulnerabilities/
Mitre CVE
I riferimenti CVE sono disponibili nell'advisory originale.
GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iF0EAREIAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCaeCvIAAKCRDBnEyTZRJg
Quk2AJoCYIPQYozBLHHa5mkcSS/kg3STOACgyO5m1uDk1IFHVcetHC4nbK7uvGY=
=HZVI
-----END PGP SIGNATURE-----
Hash: SHA256
******************************************************************
alert ID: GCSA-26064
data: 16 aprile 2026
titolo: Vulnerabilita' in prodotti Fortinet
******************************************************************
:: Descrizione del problema
Fortinet ha pubblicato 26 avvisi di sicurezza che descrivono in dettaglio 27 vulnerabilita' nei suoi prodotti,
delle quali due con gravita' "critica".
CVE-2026-39813 (CVSSv3 Score 9.1)
Unauthenticated Authentication bypass and Privilege escalation in FortiSandbox
CVE-2026-39808 (CVSSv3 Score 9.1)
OS Command Injection through API endpoint
Entrambe le vulnerabilita' e potrebbero essere sfruttate senza autenticazione tramite richieste HTTP appositamente create.
Maggiori informazioni sono disponibili alla sezione "Riferimenti".
:: Prodotti interessati
FortiAnalyzer versioni precedenti alla 7.6.5
FortiAnalyzer versioni precedenti alla 7.4.9
FortiClientEMS versioni precedenti alla 7.4.6
FortiClientEMS versioni precedenti alla 7.2.13
FortiDDoS-F versioni precedenti alla 7.2.3
FortiManager versioni precedenti alla 7.6.5
FortiManager versioni precedenti alla 7.4.9
FortiNAC-F versioni precedenti alla 7.6.6
FortiNDR versioni precedenti alla 7.6.1
FortiNDR versioni precedenti alla 7.4.9
FortiOS versioni precedenti alla 7.6.5
FortiOS versioni precedenti alla 7.4.10
FortiPAM versioni precedenti alla 1.7.1
FortiProxy versioni precedenti alla 7.6.5
FortiProxy versioni precedenti alla 7.4.12
FortiSandbox versioni precedenti alla 4.4.9 (questa versione resta interessata dalla vulnerabilita' CVE-2026-27316)
FortiSandbox versioni precedenti alla 5.0.6
FortiSOAR versioni precedenti alla 7.5.3 con File Content Extraction Connector versioni precedenti alla 1.3.1
FortiSOAR versioni precedenti alla 7.6.5 con File Content Extraction Connector versioni precedenti alla 1.3.1
FortiSwitchManager versioni precedenti alla 7.0.7
FortiSwitchManager versioni precedenti alla 7.2.8
FortiVoice versioni precedenti alla 7.0.2
FortiWeb versioni precedenti alla 7.6.7
FortiWeb versioni precedenti alla 8.0.4
:: Impatto
Attacco all'integrita' dei dati (Data Manipulation)
Bypass delle funzionalita' di sicurezza (SFB)
Esecuzione remota di comandi o codice arbitrario (RCE)
Acquisizione di privilegi piu' elevati (EoP)
Cross-site Scripting (XSS)
Denial of Service (DoS)
SQL Injection (SQLi)
Attacco alla confidenzialita' dei dati (ID)
:: Soluzioni
Si consiglia di applicare gli aggiornamenti
seguendo le indicazioni del vendor
pubblicate negli advisories.
https://docs.fortinet.com/upgrade-tool/fortigate
:: Riferimenti
FortiGuard Labs - PSIRT Advisories
https://www.fortiguard.com/psirt?filter=1&version=&keyword=
FortiSandbox
https://www.fortiguard.com/psirt/FG-IR-26-100
https://www.fortiguard.com/psirt/FG-IR-26-109
https://www.fortiguard.com/psirt/FG-IR-26-110
https://www.fortiguard.com/psirt/FG-IR-26-112
https://www.fortiguard.com/psirt/FG-IR-26-113
https://www.fortiguard.com/psirt/FG-IR-26-115
FortiClientEMS
https://www.fortiguard.com/psirt/FG-IR-26-102
https://www.fortiguard.com/psirt/FG-IR-26-107
FortiSOAR
https://www.fortiguard.com/psirt/FG-IR-26-101
https://www.fortiguard.com/psirt/FG-IR-26-103
https://www.fortiguard.com/psirt/FG-IR-26-104
https://www.fortiguard.com/psirt/FG-IR-26-105
https://www.fortiguard.com/psirt/FG-IR-26-106
https://www.fortiguard.com/psirt/FG-IR-26-116
https://www.fortiguard.com/psirt/FG-IR-26-117
FortiWeb
https://www.fortiguard.com/psirt/FG-IR-26-108
https://www.fortiguard.com/psirt/FG-IR-26-114
https://www.fortiguard.com/psirt/FG-IR-26-127
FortiAnalyzer - FortiManager
https://www.fortiguard.com/psirt/FG-IR-26-111
https://www.fortiguard.com/psirt/FG-IR-26-120
https://www.fortiguard.com/psirt/FG-IR-26-121
FortiNAC-F
https://www.fortiguard.com/psirt/FG-IR-26-118
FortiDDoS-F
https://www.fortiguard.com/psirt/FG-IR-26-119
FortiOS
https://www.fortiguard.com/psirt/FG-IR-26-125
FortiOS - FortiPAM - FortiProxy - FortiSwitchManager
https://www.fortiguard.com/psirt/FG-IR-26-122
FortiNDR - FortiVoice
https://www.fortiguard.com/psirt/FG-IR-26-124
Axios npm Package Compromised
https://www.fortiguard.com/psirt/FG-IR-26-126
Center for Internet Security (CIS)
https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-fortinet-products-could-allow-for-arbitrary-code-execution_2026-035
SecurityWeek
https://www.securityweek.com/fortinet-patches-critical-fortisandbox-vulnerabilities/
Mitre CVE
I riferimenti CVE sono disponibili nell'advisory originale.
GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iF0EAREIAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCaeCvIAAKCRDBnEyTZRJg
Quk2AJoCYIPQYozBLHHa5mkcSS/kg3STOACgyO5m1uDk1IFHVcetHC4nbK7uvGY=
=HZVI
-----END PGP SIGNATURE-----