• 2 min de lectura
Vulnerabilidad de FortiSandbox entra en el KEV de CISA mientras se propagan los ataques
CISA añadió CVE-2026-25089 al KEV el 16 de julio tras explotación activa. La falla de FortiSandbox es una inyección de comandos no autenticada en la interfaz web.

Imagen: Hacker News
CVE-2026-25089, una vulnerabilidad crítica de Fortinet FortiSandbox, fue añadida al catálogo de Vulnerabilidades Conocidas Explotadas (KEV) de CISA el 16 de julio de 2026, después de que se reportaran intentos de explotación a mediados de junio. La vulnerabilidad es una inyección de comandos del sistema operativo sin autenticación en la interfaz web del producto, vinculada a la función "start VNC", donde un atacante puede inyectar metacaracteres de shell a través de cargas JSON en peticiones HTTP.
El registro CNA de Fortinet asigna al fallo una puntuación CVSS de 9.8, mientras que el aviso del PSIRT de la compañía lo lista en 9.1. NVD no ha publicado una puntuación independiente. Según la fuente, no se requiere autenticación ni interacción del usuario, y la complejidad del ataque es baja. Para los sistemas FCEB aplicables, CISA estableció un plazo de remediación el 19 de julio de 2026 bajo la BOD 26-04.
Versiones afectadas y correcciones
La fuente indica que las siguientes versiones están afectadas:

Recomendado
ReasonGate bloquea la inyección de prompts antes de que se ejecute el LLM
- FortiSandbox 4.2.x: todas las versiones
- FortiSandbox 4.4.0–4.4.8
- FortiSandbox 5.0.0–5.0.5
- FortiSandbox Cloud 5.0.4–5.0.5
- FortiSandbox PaaS 5.0.4–5.0.5
Las versiones corregidas son:
- FortiSandbox 4.4.9 y posteriores
- FortiSandbox 5.0.6 y posteriores
- Cloud y PaaS 5.0.6 y posteriores
La fuente señala una laguna para 4.2.x: el registro CNA lo enumera como afectado, pero el aviso de Fortinet no proporciona una ruta de remediación, y aconseja a los clientes que contacten a Fortinet para obtener orientación sobre la migración.
Esta es la tercera vulnerabilidad de FortiSandbox explotada en entornos reales en 2026 en un período de dos meses. Las otras dos son:
- CVE-2026-39808: inyección de comandos del sistema operativo, explotación observada el 12 de junio por KEVIntel
- CVE-2026-39813: recorrido de rutas (path traversal) que conduce a una omisión de autenticación, explotación observada el 15 de junio por Defused
Exposición y recomendaciones de respuesta
La empresa de inteligencia sobre amenazas Defused detectó supuestamente intentos de explotación contra los tres CVE en honeypots (señuelos). Esto importa porque FortiSandbox alimenta veredictos de amenazas a otros productos de Fortinet, incluidos FortiGate, FortiMail, FortiWeb y FortiProxy, que pueden usar esos veredictos para aplicar bloqueos y activar respuestas automatizadas.
La fuente recomienda aplicar los parches de inmediato y asegurarse de que los sistemas estén actualizados para las tres vulnerabilidades. Si eso no es posible, las organizaciones deberían restringir el acceso a la interfaz web de gestión desde redes no confiables y mantener el puerto 443 fuera de Internet público. También aconseja revisar los flujos de trabajo y los registros de Fortinet conectados en busca de veredictos inusuales, cambios de configuración, peticiones sospechosas a endpoints relacionados con VNC, tráfico saliente inesperado, cuentas nuevas o cambios en la configuración del sistema.
Fortinet realiza el seguimiento del problema en el aviso FG-IR-26-141.
Security Editor
Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.
vía Hacker News


