Présentation de la vulnérabilité

La vulnérabilité CVE-2026-25089 est une faille d'injection de commande dans l'interface web de FortiSandbox. Cette faille permet à un attaquant d'injecter des métacaractères de shell via des charges utiles JSON dans des requêtes HTTP sans nécessiter d'authentification.

Contexte technique

FortiSandbox est un produit de Fortinet qui consomme des verdicts de menace pour prendre des décisions de blocage et déclencher des réponses automatisées. Les produits intégrés de Fortinet, tels que FortiGate, FortiMail, FortiWeb et FortiProxy, dépendent des verdicts de FortiSandbox.

La vulnérabilité CVE-2026-25089 est la troisième faille de sécurité exploitée dans FortiSandbox en deux mois. Les deux autres failles, CVE-2026-39808 et CVE-2026-39813, ont été corrigées en avril 2026 mais peuvent toujours être présentes sur les systèmes qui n'ont pas reçu les mises à jour d'avril.

Implications et limites

Les attaquants peuvent exploiter cette vulnérabilité pour injecter des commandes système et prendre le contrôle de l'appliance FortiSandbox. Il est essentiel de mettre à jour immédiatement les appliances FortiSandbox vers la version 4.4.9 ou 5.0.6 pour corriger cette vulnérabilité.

Il est également important de restreindre l'accès à l'interface de gestion web de FortiSandbox et de surveiller les journaux d'accès pour détecter les activités anormales.

Résolution et prévention

Pour résoudre cette vulnérabilité, il est recommandé de mettre à jour les appliances FortiSandbox vers la version 4.4.9 ou 5.0.6. Il est également important de restreindre l'accès à l'interface de gestion web de FortiSandbox et de surveiller les journaux d'accès pour détecter les activités anormales.

https://hellorecon.com/blog/cve-2026-25089

Les sources de cette information incluent le site web de Fortinet, la base de données NVD et le catalogue de vulnérabilités exploitées de CISA.