2026/03/10 CyberSecurityNews — Fortinet が 2026年3月10日に公開したのは、FortiManager /FortiAnalyzer/FortiSwitchAXFixed/FortiSandbox などの、中核となるエンタープライズ製品群に影響を及ぼす 11件の脆弱性に対処する包括的なセキュリティ・アドバイザリである。これらの脆弱性を悪用するリモート攻撃者は、認証バイパス/バッファ・オーバーフロー/OS コマンド・インジェクション/SQL インジェクション/任意のコマンド実行/権限昇格を可能にする。
高深刻度の脆弱性の修正
以下の 2 件の脆弱性が High と評価され、重大なリスクをもたらす。
CVE-2026-22627 (FG-IR-26-086):FortiSwitchAXFixed 1.0.0/1.0.1 の LLDP OUI フィールドに存在する Classic Buffer Overflow (CWE-120) の欠陥である。この種のバッファ・オーバーフローにより、隣接メモリが書き換えられ、デバイス上での任意コード実行に至る恐れがある。
CVE-2025-54820 (FG-IR-26-098):FortiManager 7.4.0〜7.4.2/7.2.9〜7.2.10 fgtupdates サービスに存在する Stack-based Buffer Overflow (CWE-121) の欠陥である。細工された更新リクエストによりリモートコード実行が誘発されるため、集中型のネットワーク管理基盤を運用する組織にとって深刻なリスクが生じる。
認証および MFA バイパス脆弱性
以下の 3 件の脆弱性を悪用する攻撃者は、FortiManager/FortiAnalyzer の認証メカニズムを標的とし、アクセス制御に重大なリスクをもたらす。
CVE-2026-22629 (FG-IR-26-079):過剰な認証試行に対する制限不備 (CWE-307) の欠陥であり、競合状態によるアカウント・ロックアウト回避が可能になる。影響が生じる範囲は、FortiAnalyzer 7.6.0〜7.6.4/FortiAnalyzer Cloud/FortiManager 7.6.0〜7.6.4/FortiManager Cloud である。タイミング・ウィンドウを悪用する攻撃者に、ブルートフォース攻撃を許す。
CVE-2026-22572 (FG-IR-26-090):FortiAnalyzer/FortiManagerの 7.6.0〜7.6.3 と、各種の Cloud バージョンに存在する、GUI の別経路/別チャネルを介した認証バイパス (CWE-288) の欠陥である。多要素認証 (MFA) の完全な回避が可能であり、管理者アクセスの主要防御層を弱体化させる。
CVE-2025-68482 (FG-IR-26-078) :FortiManager GUI の初期 SSO 認証時における、TLS 証明書の検証不備 (CWE-295) の欠陥である。影響が及ぶ範囲は、FortiAnalyzer/FortiManager の 7.6.0〜7.6.4 である。中間者攻撃により、認証プロセスの傍受/改竄を許す恐れがある。
コマンド・インジェクションおよび権限昇格
CVE-2026-25836 (FG-IR-26-096):FortiSandbox Cloud 5.0.4 の vmimages 更新機能に存在する、OS コマンド・インジェクション (CWE-78) の欠陥である。認証済みの攻撃者による、GUI 経由での任意の OS コマンド実行が可能となり、完全なシステム侵害に至る可能性がある。
CVE-2025-48418 (FG-IR-26-081):FortiManager/FortiAnalyzer 7.6.0〜7.6.3 と Cloud 版に存在する、未公開 CLI 機能 (CWE-1242) の露出である。アクセス権を有するリモート攻撃者が隠しコマンドを悪用し、権限を昇格させる可能性がある。
CVE-2026-22628 (FG-IR-26-085):FortiSwitchAXFixed 1.0.0/ 1.0.1 の Improper Access Control (CWE-284) の欠陥であり、認証済み管理者に対して SSH ローカル・コンフィグの上書きを許す、シェル制限の回避を引き起こす可能性がある。
SQLi/XSS などの脆弱性
CVE-2025-68648 (FG-IR-26-092):FortiAnalyzer/FortiManager fazsvcd コンポーネントにおける、API 経由での書式文字列の脆弱性 (CWE-134) である。
CVE-2025-49784 (FG-IR-26-095):FortiAnalyzer 7.6.0〜7.6.4/FortiAnalyzer-BigData の JSON-RPC API に存在する、SQL インジェクション (CWE-89) の欠陥である。
CVE-2025-53608 (FG-IR-26-091):FortiSandbox 4.4.6〜5.0.2 の LDAP サーバ・オプションに存在する蓄積型クロスサイト・スクリプティング (CWE-79) の欠陥である。
緩和策
ユーザー組織にとって必要なことは、以下の項目の優先的な実施である。
- Fortinet が公開したパッチを即時適用する。特に、深刻度の High のバッファ・オーバーフローの脆弱性 CVE-2026-22627/CVE-2025-54820 を最優先する。
- FortiManager/FortiAnalyzer 環境の管理者アクセスを監査し、MFA 設定を再確認する。
- CLI/SSH アクセスを、信頼済み管理者アカウントのみに制限する。
- ログ内の異常な認証試行および権限昇格の活動を監視する。
- FortiSandbox Cloud 環境におけるコマンド・インジェクション兆候を確認する。
FortiGuard PSIRT ポータルを通じて、詳細な技術アドバイザリが公開されている。管理者は、それぞれの CVE ごとの影響バージョン一覧と自環境を照合し、速やかに対応する必要がある。
Fortinet が公開したのは、ネットワーク管理の核心を担う FortiManager やFortiAnalyzer などの主要製品群に存在する、11 件の脆弱性に対する包括的なアドバイザリです。一連の脆弱性の原因は、メモリ管理の根本的な不備であるバッファオーバーフローや、認証プロセスの設計ミスにあります。
特に深刻なのは、管理サーバ上でリモートからの任意のプログラム実行を許す可能性のある脆弱性です。たとえばCVE-2025-54820では、細工された更新リクエストを処理する際にスタック領域が破壊され、攻撃者にシステム権限を奪取される危険性があります。ご利用のチームは、ご注意ください。よろしければ、Fortinet での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.