CVE-2026-25089
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Wysokie ryzykoPercentyl 76 — wyżej niż 76% wszystkich znanych CVE
Streszczenie
W Fortinet FortiSandbox występuje podatność na wstrzyknięcie poleceń systemowych z powodu niewłaściwego neutralizowania specjalnych elementów w poleceniach OS. Atakujący bez uwierzytelnienia może wykonać nieautoryzowane polecenia za pomocą odpowiednio skonstruowanych żądań HTTP.
Ocena ryzyka
Podatność ta może prowadzić do nieautoryzowanego dostępu do systemu oraz wykonania złośliwego kodu, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację FortiSandbox do najnowszej wersji, aby usunąć tę podatność oraz monitorowanie logów w celu wykrycia potencjalnych prób ataków.
Oryginalny opis (angielski, źródło NVD)
A improper neutralization of special elements used in an os command ('os command injection') vulnerability in Fortinet FortiSandbox 5.0.0 through 5.0.5, FortiSandbox 4.4.0 through 4.4.8, FortiSandbox 4.2 all versions, FortiSandbox Cloud 5.0.4 through 5.0.5, FortiSandbox PaaS 5.0.4 through 5.0.5 may allow an unauthenticated attacker to execute unauthorized commands via specifically crafted HTTP requests

