Fortinet publicó avisos de seguridad para corregir cinco vulnerabilidades en sus controladores de puntos de acceso inalámbrico, sistema operativo de red y plataformas de gestión empresarial. Destaca un bypass crítico de autorización no autenticada en FortiSandbox que permite acceso remoto sin credenciales. Otras fallas incluyen inyecciones de comandos, riesgo de denegación de servicio y escritura fuera de límites, afectando varias versiones y productos.
CVE y severidad
| CVE | Producto | Severidad | Vector de ataque | Autenticación requerida |
|---|---|---|---|---|
| CVE-2026-26083 | FortiSandbox / Cloud / PaaS | Crítica | GUI | No |
| CVE-2025-53680 | FortiAP, FortiAP-U, FortiAP-W2 | Media | CLI | Si |
| CVE-2025-53870 | FortiAP, FortiAP-W2 | Media | CLI | Si |
| CVE-2025-67604 | FortiAnalyzer, FortiManager | Media | API | Si |
| CVE-2025-53844 | FortiOS | Media | CAPWAP | Si |
Productos afectados
| Producto | Versión(es) afectada(s) | Componente(s) |
|---|---|---|
| FortiSandbox, FortiSandbox Cloud, FortiSandbox PaaS | FortiSandbox 4.4 y 5.0; Cloud 5.0, 23, 24; PaaS 22.1 a 23.4 | Interfaz gráfica (GUI) |
| FortiAP, FortiAP-U, FortiAP-W2 | FortiAP 6.4 a 7.6; FortiAP-U 6.2 y 7.0; FortiAP-W2 7.0 a 7.4 | Interfaz de línea de comandos (CLI) |
| FortiAnalyzer, FortiManager | Versiones 7.0 a 8.0 en ambas líneas de producto | Capa API para análisis y gestión centralizados |
| FortiOS | 7.2, 7.4 y 7.6 | Demonio CAPWAP (Control y aprovisionamiento de APs inalámbricos) |
Solución
Actualizar de forma inmediata FortiSandbox para mitigar la vulnerabilidad crítica CVE-2026-26083 y aplicar las actualizaciones de seguridad publicadas por Fortinet en los demás productos afectados, incluyendo FortiAP, FortiAnalyzer, FortiManager y FortiOS.
Recomendaciones
- Priorizar la remediación de la vulnerabilidad crítica CVE-2026-26083 debido a su alto impacto y potencial de explotación.
- Aplicar todos los parches y versiones recomendadas por Fortinet en los equipos afectados.
- Restringir el acceso a interfaces CLI y API únicamente a administradores autorizados y redes confiables.
- Implementar controles de acceso y segmentación para minimizar exposición de servicios administrativos.
- Verificar la exposición pública de dispositivos Fortinet y limitar el acceso desde Internet cuando sea posible.
Referencias
- Original: Fortinet Parches Cinco Vulnerabilidades en Productos Empresariales – Cyber Security News
- NVD – CVE-2026-26083
- MITRE – CVE-2026-26083
- NVD – CVE-2025-53680
- MITRE – CVE-2025-53680
- NVD – CVE-2025-53870
- MITRE – CVE-2025-53870
- NVD – CVE-2025-67604
- MITRE – CVE-2025-67604
- NVD – CVE-2025-53844
- MITRE – CVE-2025-53844