Zpětná vazba k reportu

Neautentizovanému vzdálenému útočníkovi je ve FortiSandbox umožněno vykonat útok XSS [8].

Zranitelnost se nachází v produktu FortiSandbox ve verzích (>=4.0 AND <4.4.8) OR (>=5.0.0 AND <5.0.2).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Více informací:

• CVE-2025-52436 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org

Zranitelnost byla veřejně oznámena 10. 2. 2026.

Neautentizovanému vzdálenému útočníkovi je kvůli logické chybě v komponentě FortiOS (fnbamd) za určitých podmínek umožněno obejít autentizaci v rámci Agentless VPN nebo FSSO (Fortinet Single Sign-On). Zranitelnost je zneužitelná, povoluje-li konfigurace vzdáleného LDAP serveru neautentizované dotazy (unauthenticated bind). Není-li okamžitá aktualizace na opravenou verzi možná, je pro dočasnou mitigaci rizika doporučeno tuto konfiguraci zakázat. Detailní informace k dočasné opravě naleznete na [4].

Zranitelnost se nachází v produktu FortiOS ve verzích >=7.6.0 AND <7.6.5.

CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Více informací:

• CVE-2026-22153 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-305: Authentication Bypass by Primary Weakness at cwe.mitre.org

Zranitelnost byla veřejně oznámena 10. 2. 2026.

Autentizovanému vzdálenému útočníkovi s právy read-only je ve FortiAuthenticator nahráváním specifických souborů na nechráněný endpoint umožněno neoprávněně modifikovat lokální uživatelské účty [1].

Zranitelnost se nachází v produktu FortiAuthenticator ve verzích >=6.3.0 AND <6.6.7.

CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Více informací:

• CVE-2026-21743 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-862: Missing Authorization at cwe.mitre.org

Zranitelnost byla veřejně oznámena 10. 2. 2026.