Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Fortinet предупредува за критични RCE пропусти во FortiSandbox и FortiAuthenticator

Објавено: 13.05.2026

Fortinet објави безбедносни ажурирања за две критични ранливости во FortiSandbox и FortiAuthenticator кои би можеле да им овозможат на напаѓачите да извршуваат команди или произволен код на незакрпени системи.

Првата ранливост, означена како CVE-2026-44277, го погодува IAM решението FortiAuthenticator и е поправена во верзиите 6.5.7, 6.6.9 и 8.0.3.

„Ранливост од типот Improper Access Control [CWE-284] во FortiAuthenticator може да му овозможи на неавтентициран напаѓач да извршува неовластен код или команди преку специјално креирани барања,“ соопшти Fortinet во советодавно известување објавено во вторникот.

Компанијата додаде дека FortiAuthenticator Cloud (поранешно име FortiTrust Identity), cloud-базирана IDaaS услуга управувана од Fortinet, не е погодена од проблемот.

Истовремено, Fortinet поправи и ранливост поради недостасувачка авторизација, означена како CVE-2026-26083, која може да се искористи за remote code execution на ранливи FortiSandbox системи дизајнирани за заштита од малициозни активности, вклучувајќи zero-day закани.

„Ранливост поради недостасувачка авторизација [CWE-862] во FortiSandbox, FortiSandbox Cloud и FortiSandbox PaaS WEB UI може да му овозможи на неавтентициран напаѓач да извршува неовластен код или команди преку HTTP барања,“ додаде компанијата.

Иако Fortinet не наведе дека овие две безбедносни ранливости веќе се злоупотребуваат во реални напади, пропустите во нивните производи често се користат во ransomware и сајбер-шпионски кампањи, често како zero-day експлоити.

На пример, во февруари компанијата поправи друга критична ранливост — CVE-2026-21643 — во платформата FortiClient Enterprise Management Server, која компанијата за threat intelligence Defused еден месец подоцна ја означи како активно експлоатирана.

Неодамна, Cybersecurity and Infrastructure Security Agency нареди федералните агенции во United States да ги обезбедат своите FortiClient EMS инстанци од активно експлоатирана authentication bypass ранливост означена како CVE-2026-35616.

Вкупно, Cybersecurity and Infrastructure Security Agency има додадено 24 ранливости поврзани со Fortinet во својот каталог на активно експлоатирани безбедносни пропусти во последните години, од кои 13 биле злоупотребени и во ransomware напади.

Извори:

  • Bleeping Computer – Fortinet warns of critical RCE flaws in FortiSandbox and FortiAuthenticator Bleeping Computer