Kritische Schwachstellen in FortiAuthenticator und FortiSandbox
- Sicherheitshinweis
Die CSBW warnt vor zwei kritischen Sicherheitslücken in Fortinet-Produkten: Eine ist in der Software FortiAuthenticator und eine im Produkt FortiSandbox. Fortinet stellt abgesicherte Versionen zur Verfügung, die die Lücken beheben.
© Vitalii Vodolazskyi - stock.adobe.com
Ausführung von maliziösem Code möglich
Das Unternehmen Fortinet veröffentlichte im Zuge seines Patchdays am 12. Mai 2026 zwei Warnmeldungen zu den folgenden zwei kritischen Schwachstellen:
- CVE-2026-44277 (EUVD-2026-29729) in FortiAuthenticator mit einem CVSS-Score von 9.1/10 ermöglicht Angreifenden, bösartigen Code ohne vorhergehende Authentifizierung auszuführen. Die Sicherheitslücke betrifft alle FortiAuthenticator-Versionen vor 6.5.7, 6.6.9 und 8.0.3. Mit diesen drei Versionen schließt Fortinet die Lücke.
- CVE-2026-26083 (EUVD-2026-29550) in FortiSandbox mit einem CVSS-Score von 9.1/10 ermöglicht Angreifenden ebenfalls, bösartigen Code ohne vorhergehende Authentifizierung auszuführen. Die Sicherheitslücke betrifft alle Versionen von FortiSandbox und FortiSandbox Cloud vor FortiSandbox 4.4.9 und 5.0.2 bzw. FortiSandbox Cloud 5.0.6. Mit diesen drei Versionen schließt Fortinet die Lücke.
Empfehlungen
- Installieren Sie umgehend und je nach installierter Instanz die FortiAuthenticator-Version 6.5.7, 6.6.9 oder 8.0.3.
- Installieren Sie umgehend und je nach installierter Instanz die FortiSandbox-Version 4.4.9 oder 5.0.2 oder die Version 5.0.6 von FortiSandbox Cloud.