Auf den Punkt: Drei Schwachstellen in Fortinet FortiSandbox (CVE-2026-39813, CVE-2026-39808, CVE-2026-25089) werden aktiv ausgenutzt; zwei waren seit April 2026 gepatcht, die neueste nur eine Woche alt.
Das Bedrohungsanalyseteam Defused Cyber dokumentiert aktive Angriffe auf Fortinet FortiSandbox mittels drei kritischer Schwachstellen (CVSS 9.1). Zwei wurden bereits im April 2026 gepatcht, eine dritte erst in der Vorwoche – doch Angreifer setzen sie dennoch ein.
Defused Cyber meldet die aktive Ausnutzung von drei kritischen Schwachstellen in Fortinet FortiSandbox mit jeweils einem CVSS-Wert von 9.1. Die Lücken tragen die Bezeichnungen CVE-2026-39813, CVE-2026-39808 und CVE-2026-25089.
CVE-2026-39813 ist ein Authentifizierungsfehler im JRPC-API-Pfad, der unauthentifizierten Angreifern die Umgehung der Authentifizierung über manipulierte HTTP-Anfragen ermöglicht. CVE-2026-39808 ist eine OS-Befehlsinjektion, die die Ausführung von Schadcode ohne vorherige Anmeldung erlaubt. Beide Schwachstellen wurden bereits im April 2026 durch Updates geschlossen. CVE-2026-25089 ist ebenfalls eine OS-Befehlsinjektion über die Web-UI; dieses Update wurde erst in der Vorwoche bereitgestellt. Betroffen sind FortiSandbox (lokal), FortiSandbox Cloud und FortiSandbox PaaS.
Defused Cyber zufolge weist der im Umlauf befindliche Exploit für CVE-2026-25089 Merkmale eines KI-generierten Codes auf, ist jedoch fehlerhaft und nicht funktionsfähig. Eine brauchbare Exploitmethode wurde bisher nicht öffentlich veröffentlicht. Das unzureichende Patching trotz vorliegender Updates deutet auf mangelnde Deployment-Geschwindigkeit in Produktionsumgebungen hin. Fortinet-Infrastruktur wird kontinuierlich angegriffen; zusätzlich zu den aktuellen Fällen gab Fortinet im April 2026 ein Notfall-Update für eine kritische Schwachstelle in FortiClient EMS frei, die ebenfalls aktiv exploitiert wurde.
Quelle: www.it-daily.net · Erschienen 17. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.