FortiSandbox の脆弱性 CVE-2026-39808 が FIX:PoC エクスプロイトも公開

PoC Exploit Released for FortiSandbox Vulnerability that Allows Attacker to Execute Commands

2026/04/18 CyberSecurityNews — Fortinet の FortiSandbox 製品群の、深刻な脆弱性 CVE-2026-39808 に対する PoC エクスプロイトが公開された。この脆弱性を悪用する未認証の攻撃者は、ログイン資格情報を必要とせずに、root 権限で任意の OS コマンドの実行が可能になる。FortiSandbox に影響を及ぼす OS コマンド・インジェクションの脆弱性 CVE-2026-39808 は、”/fortisandbox/job-detail/tracer-behavior” エンドポイントに存在する。

FortiSandbox は、高度な脅威およびマルウェアを検知/分析するために設計され、広く利用されるサンドボックス・ソリューションであり、この脆弱性によるリスクは軽視できないものとなる。

脆弱性 CVE-2026-39808 に関しては、2025年11月に発見された後のパッチ公開を経て、2026年4月に PoC が公開されている。現時点において、動作するエクスプロイトが GitHub 上で自由に入手可能となっているため、セキュリティ研究者および防御担当者に強く推奨されるのは、速やかな修正の適用である。

攻撃の容易性

脆弱性 CVE-2026-39808 が影響を及ぼす範囲は、FortiSandbox バージョン 4.4.0 〜 4.4.8 であり、その悪用が容易であるため、きわめて深刻なリスクが生じている。

jid GET パラメータに対してパイプ記号 (|) を使用する攻撃者は、Unix 系システムにおける一般的なコマンド連結の手法を悪用する OS コマンド・インジェクションが可能となる。標的となる “/fortisandbox/job-detail/tracer-behavior” エンドポイントでは、ユーザー入力に対する適切なサニタイズ処理が行われないため、基盤となる OS 上の root 権限で、注入されたコマンドが実行される。

OS command injection via | in the jid parameter(source : GitHub)

OS command injection via | in the jid parameter(source : GitHub)

GitHub に PoC を公開した研究者 samu-delucas によると、特別なツールを必要とせず、root 権限で単一の curl コマンドを実行するだけで、リモート・コード実行 (RCE) を完結できるという。その容易さを裏付ける実例として、以下のコマンドが提示されている。

curl -s -k --get "http://$HOST/fortisandbox/job-detail/tracer-behavior" --data-urlencode "jid=|(id > /web/ng/out.txt)|"

このコマンドを実行する攻撃者は、コマンド出力を Web ルート配下のファイルに書き込み、そのファイルをブラウザ経由で取得できる状態となる。結果として、攻撃者はログインを必要とせずに、機密ファイルの読み取り/マルウェアの配置/システムの完全侵害を即座に実行できる。

Fortinet の対応

すでに Fortinet は、FortiGuard PSIRT ポータルでアドバイザリ FG-IR-26-100 をリリースし、この問題に対処している。アドバイザリでは深刻度および影響を受けるバージョンが明示されている。対象バージョンを使用する組織は、遅滞なく修正済みバージョンへとアップグレードする必要がある。

推奨される対策は以下の通りである。

  • パッチ適用の即時実施:Fortinet の公式アドバイザリに従い、4.4.8 以降の修正版へとアップグレードする。
  • 公開インスタンスの監査:FortiSandbox 管理インターフェイスが、非信頼ネットワークまたはインターネットに公開されていないことを確認する。
  • ログの確認:”/fortisandbox/job-detail/tracer-behavior: エンドポイントへの不審な GET リクエストを調査する。
  • ネットワーク分離の適用:管理インターフェイスへのアクセスを信頼済み IP 範囲のみに制限する。

すでに悪用が可能な状態にある脆弱性 CVE-2026-39808 に対して、一般向けの PoC が公開されたことで、攻撃のリスクが高まっている。セキュリティ・チームにとって必要なことは、この問題を最優先のパッチ適用対象として扱い、影響を受けるシステムを保護することだ。

訳者後書:この脆弱性 CVE-2026-39808 は、システムがユーザーから受け取った情報を、そのままコマンドとして処理してしまうことに起因します。本来であれば、入力されたデータに危険な記号が含まれていないことを確認する、サニタイズという処理が必要なのですが、それが不十分だったことで OS コマンド・インジェクションを許しています。PoC が提供されていますので、ご利用のチームは、ご注意ください。よろしければ、Fortinet での検索結果も、ご参照ください。