Fortinet本週發布安全更新,修補其FortiSanbox雲端及本地部署三個版本的重大指令注入漏洞。在5月,該公司也針對FortiSandbox系列修補遠端程式碼執行(RCE)漏洞。
編號CVE-2026-25089由Fortinet產品安全部門研究人員發現及通報,為FortiSandbox產品的OS指令注入漏洞,CVSS風險值達9.1,源於Web介面的start vnc功能在處理輸入的JSON指令時,未進行適當的特殊字元過濾與中性化(Neutralization)。這讓攻擊者得以傳送變造的HTTP請求,透過輸入欄位傳送惡意OS命令,進而在Fortinet系統上未授權執行。
CVE-2026-25089影響FortiSandbox、FortiSandbox Cloud與FortiSandbox PaaS,FortiSandbox除最新的5.2版外都受影響。FortiSandbox Cloud、FortiSandbox PaaS則只影響5.0版,廠商已針對問題版本釋出安全更新。
