Fortinet hat drei Sicherheitsmitteilungen am zweiten Dienstag des Monats veröffentlicht, gemeinhin bei anderen Anbietern als „Patchday“ benannt. Eine betrifft eine kritische Sicherheitslücke in FortiSandbox, die beiden anderen weniger schwerwiegende Schwachstellen in FortiPortal und FortiOS respektive FortiProxy.
In FortiSandbox können nicht authentifizierte Angreifer eine Schwachstelle missbrauchen, um unbefugt Befehle mit speziell präparierten HTTP-Anfragen einzuschleusen, die aufgrund unzureichender Filterung an das Betriebssystem durchgereicht und dort ausgeführt werden (CVE-2026-25089, CVSS 9.1, Risiko „kritisch“). Für die betroffenen Zweige stehen Aktualisierungen bereit: FortiSandbox 5.0.6 und 4.4.9, FortiSandbox Cloud 5.0.6 und FortiSandbox PaaS 5.0.6 stopfen das Leck.
Mittelschwere Sicherheitslecks
Angreifer aus dem Netz mit Nutzerzugang können aufgrund mangelhafter Zugriffskontrollen in FortiPortal API-Endpunkten mittels manipulierter HTTP-Anfragen sensible Netzwerkinformationen abgreifen (CVE-2026-49938, CVSS 6.2, Risiko „mittel“). FortiPortal 7.4.8 sowie 7.2.9 oder neuere Versionen schließen das Sicherheitsleck. Wer noch FortiPortal 7.0 einsetzt, muss auf diese Versionen migrieren. In FortiOS und FortiProxy können angemeldete Admins Lua-Skripte mit manipulierten Kommandozeilen-Befehlen ausführen, da darin offenbar eine Debug-Schnittstelle offen steht und unbefugten Zugriff auf interne Strukturen erlaubt (CWE-1244; CVE-2025-67862, CVSS 6.0, Risiko „mittel“). FortiOS 7.6.3, 7.4.8 und 7.2.11 sowie FortiProxy 7.6.4, 7.4.11 und 7.2.15 oder neuer korrigieren den sicherheitsrelevanten Fehler.
