[TLP:CLEAR] Fortinet opravuje 11 zraniteľností v rôznych produktoch

Fortinet opravuje 11 zraniteľností v rôznych produktoch. Najzávažnejšie zraniteľnosti sú uvedené nižšie. Jednotlivé produkty a ich opravené verzie: FortiOS - 7.6.7 [6][7][8][9][10][11] FortiPAM - 1.8.3 [6][7][8] FortiProxy - 7.4.14, 7.6.6 [6][7][8][9][10][11] FortiSIEMWindowsAgent - 7.4.2 [5] FortiSandbox (FSA-500G, FSA-1500G) - 4.4.9, 5.0.3 [4] FortiSIEM - 7.2.7, 7.3.5, 7.4.1 [3] FortiClientEMS - 7.4.6 [2] FortiAuthenticator - 6.5.8, 6.6.3 [1]

FortiAuthenticator - sensitive information leak (CVE-2025-53379)
CVSS 7.5 (High)

Neautentizovanému vzdialenému útočníkovi je v FortiAuthenticator umožnené získať prístup k citlivým informáciám zasielaním špeciálne vytvorených požiadaviek [1].

Zraniteľnosť sa nachádza v produkte FortiAuthenticator vo verziách (>=6.6.0 AND <6.6.3) OR (>=6.5 AND <6.5.7).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N/E:F/RL:O/RC:C

Viac informácií:

FortiClientEMS - entity inpersonation (CVE-2026-59836)
CVSS 7.5 (High)

Neautentizovanému vzdialenému útočníkovi s validným API klúčom je v FortiClientEMS umožnené vydávať sa za AD Connector [2].

Zraniteľnosť sa nachádza v produkte FortiClientEMS vo verziách (>=7.2.0 AND <7.4.1) OR (>=7.4.3 AND <7.4.6).

CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H/E:P/RL:O/RC:C

Viac informácií:

FortiSIEM - XSS (CVE-2026-59838)
CVSS 5.9 (Medium)

Autentizovanému vzdialenému útočníkovi s právami administrátora je v FortiSIEM umožnené vykonať XSS útok [3].

Zraniteľnosť sa nachádza v produkte FortiSIEM vo verziách (>=6.4.0 AND <7.2.7) OR (>=7.3.0 AND <7.3.5) OR (>=7.4.0 AND <7.4.1).

CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:L/E:P/RL:O/RC:C

Viac informácií:

FortiSandbox - unauthorized access (CVE-2026-59835)
CVSS 8.6 (High)

Neautentizovanému vzdialenému útočníkovi je v FortiSandbox umožnené získať prístup k VNC virtuálnych strojov, ktoré práve vykonávajú analýzu [4].

Zraniteľnosť sa nachádza v produkte FortiSandbox vo verziách (>=4.4.3 AND <4.4.9) OR (>=5.0.0 AND <5.0.3).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L/E:P/RL:O/RC:C

Viac informácií:

FortiSIEMWindowsAgent - RCE (CVE-2026-59841)
CVSS 7.5 (High)

Neautentizovanému priľahlému útočníkovi je v FortiSIEMWindowsAgent umožnené vykonávať ľubovolný kód vydávajúc sa za stroj určený na dohľad (supervisor). Zraniteľnosť je zneužiteľná iba v prípade, že má Windows zariadenie povolenú funkcionalitu "Supers Override" [5].

Zraniteľnosť sa nachádza v produkte FortiSIEMWindowsAgent vo verziách >=4.2.0 AND <7.4.2.

CVSS: CVSS:3.1/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H/E:P/RL:O/RC:C

Viac informácií:

FortiOS, FortiPAM, FortiProxy - (CVE-2026-23573)
CVSS 6.1 (Medium)

Autentizovanému vzdialenému útočníkovi je v FortiOS, FortiPAM a FortiProxy umožnené vykonať reflected XSS útok. Zraniteľnosť je zneužitelná iba v prípade, že je povolená funkcionalita "Agentless SSL-VPN" [6].

Zraniteľnosť sa nachádza v produktoch:

  • FortiOS vo verziách >=7.2.0 AND <7.6.7
  • FortiPAM vo verziách >=1.0.0 AND <1.8.1
  • FortiProxy vo verziách (>=7.2.0 AND <7.2.10) OR (>=7.4.0 AND <7.4.4)

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N/E:P/RL:O/RC:C

Viac informácií:


Za CESNET-CERTS Martin Krajči dňa 15. 7. 2026.

CESNET-CERTS Logo