Múltiples vulnerabilidades críticas en productos Fortinet permiten ejecución remota de código, evasión de autenticación y compromiso de sistemas

Fortinet ha publicado un conjunto de 11 vulnerabilidades que afectan a múltiples soluciones de su portafolio, incluyendo FortiSandbox, FortiAnalyzer, FortiManager, FortiOS, FortiProxy, FortiPAM y FortiSwitchManager. Estas vulnerabilidades abarcan distintos niveles de severidad (Críticas, Altas, Medias y Bajas) y pueden ser explotadas para ejecutar código arbitrario, evadir mecanismos de autenticación, escalar privilegios o comprometer la integridad de los sistemas.

  • CVE-2026-39808 (CVSS 9.1): Vulnerabilidad de inyección de comandos del sistema operativo en FortiSandbox que permite a un atacante remoto no autenticado ejecutar código o comandos arbitrarios mediante solicitudes HTTP especialmente manipuladas contra la API.
  • CVE-2026-39813 (CVSS 9.1): Vulnerabilidad de path traversal en la API JRPC de FortiSandbox que permite a un atacante no autenticado evadir la autenticación y escalar privilegios mediante solicitudes HTTP manipuladas.
  • CVE-2026-22828 (CVSS 7.3): Desbordamiento de búfer basado en heap en el daemon oftpd de FortiAnalyzer Cloud y FortiManager Cloud que puede permitir la ejecución de código arbitrario o la interrupción del servicio. Su explotación requiere condiciones específicas debido a protecciones como ASLR.
  • CVE-2025-53847 (CVSS 6.2): Falla de autenticación ausente en el daemon CAPWAP de FortiOS y FortiSwitchManager que permite a un atacante no autenticado en la misma subred modificar configuraciones del dispositivo bajo ciertas condiciones.
  • CVE-2026-27316 (CVSS 2.5): Vulnerabilidad de exposición de credenciales en la interfaz web de FortiSandbox que permite a usuarios autenticados acceder a credenciales LDAP mediante inspección del lado cliente.
  • CVE-2026-25691 (CVSS 6.2): Vulnerabilidad de path traversal en FortiSandbox que permite a un usuario privilegiado eliminar directorios arbitrarios mediante solicitudes HTTP manipuladas.
  • CVE-2025-68649 (CVSS 5.4): Vulnerabilidad de path traversal en interfaces CLI de FortiAnalyzer y FortiManager que permite a usuarios autenticados eliminar archivos del sistema mediante comandos manipulados.
  • CVE-2025-61624 (CVSS 5.4): Vulnerabilidad de path traversal en FortiOS, FortiPAM, FortiProxy y FortiSwitchManager que permite a un atacante autenticado realizar escritura o eliminación arbitraria de archivos. Esta vulnerabilidad presenta evidencia de explotación activa.
  • CVE-2026-39812 (CVSS 4.3): Vulnerabilidad de Cross-Site Scripting (XSS) almacenado en FortiSandbox que permite a atacantes autenticados ejecutar scripts maliciosos persistentes en el navegador de otros usuarios.
  • CVE-2025-61886 (CVSS 4.9): Vulnerabilidad de Cross-Site Scripting (XSS) reflejado en FortiSandbox que puede ser explotada por un atacante no autenticado desde red interna mediante solicitudes HTTP manipuladas.
  • CVE-2025-61848 (CVSS 6.8): Vulnerabilidad de inyección SQL en FortiAnalyzer y FortiManager que permite a atacantes autenticados ejecutar comandos SQL arbitrarios contra la base de datos subyacente.

PRODUCTOS AFECTADOS

CVEFG-IDPRODUCTOS AFECTADOSDESCRIPCION
CVE-2026-39808FG-IR-26-100FortiSandbox 4.4.0–4.4.8Ejecución remota de comandos sin autenticación vía API
CVE-2026-39813FG-IR-26-112FortiSandbox 5.0.0–5.0.5, 4.4.0–4.4.8Bypass de autenticación mediante path traversal
CVE-2026-22828FG-IR-26-121FortiAnalyzer Cloud 7.6.2–7.6.4, FortiManager Cloud 7.6.2–7.6.4Ejecución remota de código por desbordamiento de búfer
CVE-2025-53847FG-IR-26-125FortiOS 7.6.0–7.6.3, 7.4.0–7.4.8, 7.2.0–7.2.11, 7.0.0–7.0.17, 6.2.9–6.2.17; FortiSwitchManagerFalta de autenticación en CAPWAP
CVE-2026-27316FG-IR-26-113FortiSandbox 5.0.0–5.0.5, 4.4.x; FortiSandbox PaaS 5.0.1–5.0.5Exposición de credenciales LDAP
CVE-2026-25691FG-IR-26-115FortiSandbox 5.0.0–5.0.5, 4.4.0–4.4.8Eliminación arbitraria de directorios
CVE-2025-68649FG-IR-26-120FortiAnalyzer/FortiManager (incluye Cloud) 7.6.0–7.6.4, 7.4.0–7.4.7, 7.2.x, 7.0.xEliminación de archivos vía CLI
CVE-2025-61624FG-IR-26-122FortiOS, FortiPAM, FortiProxy, FortiSwitchManager múltiples versionesEscritura/eliminación arbitraria de archivos
CVE-2026-39812FG-IR-26-110FortiSandbox 5.0.0–5.0.5, 4.4.0–4.4.8; PaaS equivalentesXSS almacenado
CVE-2025-61886FG-IR-26-109FortiSandbox 5.0.0–5.0.4; PaaS equivalentesXSS reflejado
CVE-2025-61848FG-IR-26-111FortiAnalyzer/FortiManager (incluye Cloud) 7.6.0–7.6.4, 7.4.0–7.4.8, 7.2.x, 7.0.xInyección SQL

SOLUCION

CVEPRODUCTOS AFECTADOSSOLUCION
CVE-2026-39808FortiSandbox 4.4Actualizar a 4.4.9 o superior
CVE-2026-39813FortiSandbox 5.0 / 4.4Actualizar a 5.0.6 o 4.4.9 o superior
CVE-2026-22828FortiAnalyzer/FortiManager CloudActualizar a 7.6.5 o superior
CVE-2025-53847FortiOSActualizar a 7.6.4, 7.4.9, 7.2.12, 7.0.18 o superior
CVE-2026-27316FortiSandboxActualizar a 5.0.6 o superior
CVE-2026-25691FortiSandboxActualizar a 5.0.6 o 4.4.9 o superior
CVE-2025-68649FortiAnalyzer/FortiManagerActualizar a 7.6.5 o 7.4.8 o superior
CVE-2025-61624FortiOS/FortiProxy/FortiPAMActualizar a 7.6.5, 7.4.10, versiones fijas
CVE-2026-39812FortiSandboxActualizar a 5.0.6 o 4.4.9 o superior
CVE-2025-61886FortiSandboxActualizar a 5.0.5 o superior
CVE-2025-61848FortiAnalyzer/FortiManagerActualizar a 7.6.5 o 7.4.9 o superior

TIPO DE VULNERABILIDAD
CVE-2026-39808: Inyección de comandos del sistema operativo
CVE-2026-39813: Path Traversal
CVE-2026-22828: Desbordamiento de búfer basado en heap
CVE-2025-53847: Falta de autenticación
CVE-2026-27316: Exposición de credenciales
CVE-2026-25691: Path Traversal
CVE-2025-68649: Path Traversal
CVE-2025-61624: Path Traversal
CVE-2026-39812: Cross-Site Scripting (XSS) almacenado
CVE-2025-61886: Cross-Site Scripting (XSS) reflejado
CVE-2025-61848: Inyección SQL

REFERENCIAS