Fortinet Patches 11 Vulnerabilities Across FortiSandbox, FortiOS, FortiAnalyzer, and FortiManager
2026/04/14 CyberSecurityNews — 2026年4月14日に Fortinet が公表したのは、11 件の脆弱性に対応する包括的なセキュリティ・アドバイザリであり、その内訳は Critical が 2 件、High が 2 件、Medium および Low が 7 件となっている。これらの脆弱性が影響を及ぼす範囲は、FortiSandbox/FortiAnalyzer/FortiManager/FortiOS/FortiProxy/FortiPAM/FortiSwitchManager である。エンタープライズ管理者に対して強く求められるのは、優先的かつ即時のパッチ適用である。
FortiSandbox PaaS における Critical 脆弱性
今回の最も深刻な脆弱性は、FortiSandbox/FortiSandbox PaaS における OS コマンド・インジェクションの欠陥 CVE-2026-39808 (FG-IR-26-100;CWE-122) である。
この欠陥は、OS コマンドに使用される特殊要素の不適切な無効化に起因し、API 経由での未認証のアクセスを許すものである。この脆弱性の悪用に成功した、未認証のリモート攻撃者に対して任意の OS コマンド実行が許され、最終的にはデバイスの完全な侵害に至る恐れがある。この脆弱性が影響を及ぼす範囲は、FortiSandbox 4.4.4〜4.4.8/FortiSandbox PaaS 23.4.4374 以下のバージョンとなる。
同様に深刻なのが、FortiSandbox 5.0.1〜5.0.5 の JRPC API における、パス・トラバーサルの脆弱性 CVE-2026-39813 (FG-IR-26-112:CWE-24) である。この脆弱性を悪用する攻撃者は、認証を完全にバイパスしながら権限昇格を可能にするため、今回のリリースにおいて最も危険な脆弱性の一つである。
深刻度 High の脆弱性
FortiAnalyzer Cloud/FortiManager Cloud の oftpd デーモンにおける、ヒープバッファ・オーバーフローの脆弱性 CVE-2026-22828 (FG-IR-26-121:CWE-122) は、深刻度 High に分類される。この脆弱性を悪用するリモート攻撃者は、任意のコード実行やサービス・クラッシュを引き起こす可能性があり、影響を及ぼす範囲はバージョン 7.6.2〜7.6.4 となる。
FortiOS/FortiSwitchManager の CAPWAP デーモンにおける脆弱性 CVE-2025-53847 (FG-IR-26-125:CWE-306) は、認証およびアクセス制御の欠陥に起因する。Medium と評価されているが、内部ネットワークから未認証でアクセス可能であり、FortiOS 7.4.8〜7.6.3 に影響するため、セグメント化されたエンタープライズ環境では優先的な対応が必要である。
FortiSandbox/FortiSandbox PaaS の Web GUI LDAP コンフィグ・ページにおける脆弱性 CVE-2026-27316 (FG-IR-26-113) は、認証情報に対する保護の不備 (CWE-522) に起因する。Low 評価であるが、認証済みユーザーが LDAP バインド認証情報にアクセス可能となるリスクがある。
パストラバーサル/XSS/SQL インジェクション脆弱性
このリリースでは、複数のパス・トラバーサルの脆弱性も修正された。
FortiSandbox の vmimages に影響を及ぼす脆弱性 CVE-2026-25691 (FG-IR-26-115) は、認証済み GUI ユーザーに対して任意のディレクトリ削除を許すものだ。
FortiAnalyzer/FortiAnalyzer Cloud/FortiManager/FortiManager Cloud の CVE-2025-68649 (FG-IR-26-120) と、FortiOS/FortiPAM/FortiProxy/FortiSwitchManager の CVE-2025-61624 (FG-IR-26-122) は、CLI に影響を及ぼすものだ。いずれも Medium と評価され、攻撃に際しては内部認証アクセスが必要となる。
FortiSandbox /FortiSandbox PaaS 5.0.1〜5.0.5 の脆弱性 CVE-2026-39812 (FG-IR-26-110) は、蓄積型 XSS 攻撃を引き起こす。
また、FortiSandbox Operation Center の脆弱性 CVE-2025-61886 (FG-IR-26-109) は、反射型 XSS 攻撃を引き起こすものであり、内部から未認証でアクセス可能である。
さらに 、FortiAnalyzer/FortiManager 7.6.1〜7.6.4 の脆弱性 CVE-2025-61848 (FG-IR-26-111) は、JSON RPC API を介した SQL インジェクション (CWE-89) を引き起こす。認証済み内部アクセスが必要であるが、成功した場合はバックエンド・データベース操作が可能となる。
対策
セキュリティ・チームにとって必要なことは、以下の優先順位でパッチを適用することだ。
- 最優先:FortiSandbox:CVE-2026-39808/CVE-2026-39813
- 緊急対応:FortiAnalyzer Cloud/FortiManager :CVE-2026-22828
- 高優先度:CVE-2025-53847:CAPWAP デーモン
残りの Medium/Low 脆弱性:FortiSandbox/FortiAnalyzer/FortiManager/FortiOS/FortiProxy/FortiPAM/FortiSwitchManager
管理者は Fortinet PSIRT ポータルを参照し、該当バージョンの修正内容を確認のうえ、遅延なくパッチ適用を実施すべきである。
訳者後書:今回の包括的なセキュリティ・アドバイザリにおける修正は、Fortinet 製品群の API や管理画面において、外部からの入力データを適切に検証/制限できない脆弱性に対応するものです。影響を受ける範囲が FortiSandbox や FortiManager など多岐にわたるため、Critical と評価された項目を最優先とし、PSIRT ポータルの指示に従って速やかにパッチを適用してほしいと、Fortinet は強調しています。よろしければ、Fortinet での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.