El parcheo urgente afecta FortiSandbox, FortiOS, FortiAnalyzer y FortiManager. Dos fallas críticas permiten ejecución remota de comandos y bypass de autenticación sin credenciales válidas.
Fortinet publicó el 14 de abril un paquete de 11 actualizaciones de seguridad que corrigen vulnerabilidades en múltiples productos de su portafolio empresarial, incluyendo dos fallas críticas que permiten ejecución remota de código sin autenticación. Los productos afectados incluyen FortiSandbox, FortiOS, FortiAnalyzer, FortiManager, FortiProxy, FortiPAM y FortiSwitchManager.
La vulnerabilidad más severa, identificada como CVE-2026-39808, reside en los endpoints API de FortiSandbox y FortiSandbox PaaS. Un atacante remoto sin credenciales podia explotar un fallo de inyección de comandos del sistema operativo debido a una neutralización inadecuada de caracteres especiales. El impacto es total: control completo del dispositivo comprometido. Las versiones afectadas van de FortiSandbox 4.4.4 a 4.4.8 y las versiones PaaS hasta 23.4.4374. El advisory oficial de Fortinet PSIRT detalla que los administradores deben actualizar inmediatamente a las versiones 4.4.9 o 5.0.0 según corresponda.
La segunda vulnerabilidad crítica, CVE-2026-39813, afecta también a FortiSandbox a través de su API JRPC. Se trata de un path traversal que permite bypass de autenticación y escalada de privilegios. Un atacante sin credenciales podría obtener acceso administrativo completo al sistema. Las versiones 5.0.1 a 5.0.5 están afectadas, y Fortinet recomienda actualizar a 5.0.6 o superior de manera inmediata.
El Centro de Seguridad de Internet emitió un aviso coordinado que clasifica estas vulnerabilidades como de alto impacto, advirtiendo que la explotación exitosa podría permitir a los atacantes instalar programas, modificar o eliminar datos y crear cuentas con privilegios completos en los sistemas comprometidos. Para organizaciones que ejecutan estos productos con cuentas de servicio de alto privilegio, el riesgo de compromiso total de la red es significativo.
Además de las dos fallas críticas, Fortinet corrigió CVE-2026-22828, una vulnerabilidad de severidad alta consistente en un desbordamiento de buffer en el daemon oftpd de FortiAnalyzer Cloud y FortiManager Cloud. Un atacante remoto sin autenticación podría ejecutar código arbitrario o causar la caída del servicio afectado. Las versiones 7.6.2 a 7.6.4 requieren actualización a 7.6.5. Las ocho vulnerabilidades restantes, clasificadas entre media y baja severidad, incluyen path traversal en interfaces CLI, XSS almacenado y reflejado, inyección SQL vía JSON RPC API, y exposición de credenciales LDAP en la interfaz web de FortiSandbox. Aunque la mayoría requiere autenticación previa, su presencia en productos de seguridad refuerza la necesidad de aplicar el parcheo completo según la matriz de productos y versiones publicada en el portal PSIRT de Fortinet.
Para administradores en LATAM, la prioridad es actualizar FortiSandbox en las próximas 24 horas si el dispositivo está expuesto a internet o redes no confiables. Los productos de gestión como FortiManager y FortiAnalyzer Cloud deben seguir en un ventana de 72 horas. Fortinet recomienda utilizar su herramienta Upgrade Path Tool para verificar la ruta de actualización correcta antes de aplicar los parches, especialmente en entornos de producción con configuraciones complejas.
FUENTE ORIGINAL
Fortinet PSIRT↗CURADO POR
Santiago Torres