Aktywnie wykorzystywana w atakach
Fortinet Multiple Products Authentication Bypass Using an Alternate Path or Channel Vulnerability
Fortinet — Multiple Products · Figuruje w katalogu CISA KEV od 2026-01-27. Oznacza to potwierdzone ataki w środowisku produkcyjnym.
Wymagane działanie: Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
CVE-2026-24858
KrytyczneCVSS 9.8KEVPrawdopodobieństwo exploitacji (EPSS)
Wysokie ryzykoPercentyl 90 — wyżej niż 90% wszystkich znanych CVE
Streszczenie
W Fortinet FortiAnalyzer, FortiManager, FortiNAC-F, FortiOS, FortiProxy oraz FortiWeb występuje podatność na obejście uwierzytelnienia, która pozwala atakującemu z kontem FortiCloud i zarejestrowanym urządzeniem na zalogowanie się do innych urządzeń zarejestrowanych na innych kontach, jeśli na tych urządzeniach włączono uwierzytelnianie SSO FortiCloud.
Ocena ryzyka
Podatność ta może prowadzić do nieautoryzowanego dostępu do urządzeń i danych, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się wyłączenie uwierzytelniania SSO FortiCloud na urządzeniach oraz aktualizację do najnowszej wersji oprogramowania, aby zminimalizować ryzyko.
Oryginalny opis (angielski, źródło NVD)
An Authentication Bypass Using an Alternate Path or Channel vulnerability [CWE-288] vulnerability in Fortinet FortiAnalyzer 7.6.0 through 7.6.5, FortiAnalyzer 7.4.0 through 7.4.9, FortiAnalyzer 7.2.0 through 7.2.11, FortiAnalyzer 7.0.0 through 7.0.15, FortiManager 7.6.0 through 7.6.5, FortiManager 7.4.0 through 7.4.9, FortiManager 7.2.0 through 7.2.11, FortiManager 7.0.0 through 7.0.15, FortiNAC-F 7.6.3 through 7.6.5, FortiOS 7.6.0 through 7.6.5, FortiOS 7.4.0 through 7.4.10, FortiOS 7.2.0 through 7.2.12, FortiOS 7.0.0 through 7.0.18, FortiProxy 7.6.0 through 7.6.4, FortiProxy 7.4.0 through 7.4.12, FortiProxy 7.2.0 through 7.2.15, FortiProxy 7.0.0 through 7.0.22, FortiWeb 8.0.0 through 8.0.3, FortiWeb 7.6.0 through 7.6.6, FortiWeb 7.4.0 through 7.4.11 may allow an attacker with a FortiCloud account and a registered device to log into other devices registered to other accounts, if FortiCloud SSO authentication is enabled on those devices.

