Mastodon Mastodon Mastodon Mastodon

Explotación de vulnerabilidades críticas en Fortinet FortiSandbox

Foto del autor

CyberSecureFox Editorial Team

Publicado:

Tres vulnerabilidades críticas en productos de la línea Fortinet FortiSandbox: CVE-2026-39813, CVE-2026-39808 y CVE-2026-25089, todas con puntuación CVSS 9.1, han llamado la atención de la comunidad de ciberseguridad después de que la empresa Defused Cyber informara de la observación de intentos de explotación. Las vulnerabilidades permiten a un atacante no autenticado eludir la autenticación y ejecutar comandos arbitrarios a nivel del sistema operativo. Las organizaciones que usan FortiSandbox, FortiSandbox Cloud y FortiSandbox PaaS deben comprobar de inmediato el estado de sus actualizaciones.

Detalles técnicos de las vulnerabilidades

CVE-2026-39813 — bypass de autenticación mediante path traversal

Se trata de una vulnerabilidad de tipo path traversal en el API JRPC del componente FortiSandbox. Según los datos de NVD, permite a un atacante no autenticado eludir el mecanismo de autenticicación mediante solicitudes HTTP especialmente manipuladas. La puntuación CVSS es 9.1. De acuerdo con la información disponible, Fortinet publicó el parche en abril de 2026.

CVE-2026-39808 — OS command injection

La segunda vulnerabilidad es una OS command injection que, tal y como se indica en la entrada de NVD, otorga a un atacante no autenticado la posibilidad de ejecutar código o comandos no autorizados a través de solicitudes HTTP especialmente manipuladas. La puntuación CVSS es 9.1. Según se informa, la corrección también se publicó en abril de 2026.

CVE-2026-25089 — OS command injection en varios productos

La tercera vulnerabilidad es otro caso de OS command injection, pero con un abanico más amplio de productos afectados. Según NVD, afecta a:

  • FortiSandbox
  • FortiSandbox Cloud
  • FortiSandbox PaaS WEB UI

Esta vulnerabilidad permite a un atacante no autenticado ejecutar comandos no autorizados mediante solicitudes HTTP especialmente manipuladas. La puntuación CVSS es 9.1. Según la fuente original, el parche para esta vulnerabilidad se publicó más tarde que los demás.

Estado de explotación y advertencias importantes

Es importante subrayar que las afirmaciones sobre la explotación activa de estas vulnerabilidades se basan en una única publicación de la empresa Defused Cyber en la red social X. Ninguna de las tres CVE figura en el catálogo CISA KEV (Known Exploited Vulnerabilities). En el momento de la publicación no existe confirmación independiente de explotación en la naturaleza. Esto no significa que los intentos de explotación sean imposibles — la criticidad de las vulnerabilidades (CVSS 9.1, ausencia de necesidad de autenticación) las convierte en objetivos atractivos —, pero el grado de fiabilidad de estas afirmaciones debe considerarse bajo.

Merece especial atención la observación de Defused Cyber de que el exploit detectado para CVE-2026-25089 se habría creado supuestamente utilizando un modelo de inteligencia artificial y contiene errores que lo hacen inoperativo. Según la información disponible, no se ha hecho público ningún exploit funcional para esta vulnerabilidad. Sin embargo, estas afirmaciones también proceden de una única fuente no verificada y requieren confirmación independiente.

Contexto: los dispositivos Fortinet como objetivo prioritario

Los productos Fortinet siguen siendo uno de los objetivos más atacados entre los equipos de red de clase empresarial. En abril de 2026, Fortinet, según se informa, publicó parches fuera de ciclo para la vulnerabilidad crítica CVE-2026-35616 (CVSS 9.1) en FortiClient EMS, que, de acuerdo con el proveedor, se estaba explotando en la naturaleza. El registro de esta vulnerabilidad está disponible en NVD.

La aparición de varias vulnerabilidades críticas en productos de un mismo proveedor en un corto periodo de tiempo es una señal inquietante para las organizaciones que dependen del ecosistema Fortinet para la protección del perímetro y el análisis de malware.

Evaluación del impacto

FortiSandbox es un componente clave de la infraestructura de seguridad, utilizado para el análisis dinámico de archivos sospechosos y la detección de amenazas avanzadas. La compromisión de este dispositivo conlleva un doble riesgo:

  • Daño directo: la ejecución de comandos arbitrarios a nivel del sistema operativo otorga al atacante control total sobre el dispositivo, la posibilidad de interceptar las muestras analizadas y acceso a la red interna.
  • Pérdida de confianza en la protección: una sandbox comprometida puede dejar pasar deliberadamente archivos maliciosos, generando una falsa sensación de seguridad.

Corren mayor riesgo las grandes organizaciones y los proveedores de servicios de seguridad gestionados (MSSP) que utilizan FortiSandbox, FortiSandbox Cloud o FortiSandbox PaaS para el análisis centralizado de amenazas.

Recomendaciones prácticas

  1. Compruebe de inmediato las versiones de todas las instancias de FortiSandbox, FortiSandbox Cloud y FortiSandbox PaaS en su infraestructura. Consulte las recomendaciones oficiales de Fortinet (PSIRT) para obtener los números exactos de las versiones corregidas.
  2. Aplique con carácter prioritario los parches disponibles para CVE-2026-39813, CVE-2026-39808 y CVE-2026-25089. Las tres vulnerabilidades no requieren autenticación para su explotación, lo que reduce significativamente la barrera de entrada para el ataque.
  3. Limite el acceso de red a las interfaces de administración de FortiSandbox. El API JRPC y la WEB UI no deben ser accesibles desde Internet. Utilice segmentación de red y listas de control de acceso.
  4. Realice una auditoría de los registros en busca de solicitudes HTTP anómalas al API JRPC y a la interfaz web de FortiSandbox, especialmente aquellas con indicios de path traversal o parámetros atípicos.
  5. Revise FortiClient EMS: si este producto se utiliza en su infraestructura, asegúrese de que el parche para CVE-2026-35616 también esté instalado.

Tres vulnerabilidades con puntuación CVSS 9.1, que no requieren autenticación y afectan a un componente crítico de la infraestructura de seguridad, son motivo suficiente para aplicar parches de inmediato, incluso en ausencia de explotación masiva confirmada. La acción prioritaria es actualizar todas las instancias de FortiSandbox a las versiones corregidas y restringir el acceso de red a las interfaces de administración hasta completar la actualización.

Foto del autor

CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

CyberSecureFox

© 2026 INFO

Sobre el sitio

Sobre CyberSecureFox

Autores

Contacto

Redacción

Estándares editoriales

Correcciones

Legal

Política de privacidad

Términos de servicio