Bollettino 112/2026

descrizione

Fortinet ha rilasciato aggiornamenti che correggono due vulnerabilità distinte per tipologia e prodotto.

La prima è una OS Command Injection (CWE-78) in FortiSandbox 5.0.0–5.0.5, 4.4.0–4.4.8, 4.2 tutte le versioni, FortiSandbox Cloud 5.0.4–5.0.5 e FortiSandbox PaaS 5.0.4–5.0.5, sfruttabile tramite richieste HTTP appositamente costruite senza autenticazione.

La seconda è una esposizione di asset interni a livello di accesso debug non sicuro (CWE-1244) in FortiOS 6.4–7.6.2 e FortiProxy 7.0–7.6.3, che consente l'esecuzione di script Lua tramite comandi CLI manipolati da un amministratore autenticato.

note

CVE-2026-25089 presenta un vettore CVSS:3.1 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H con score 10.0: sfruttabile remotamente, senza prerequisiti di autenticazione, senza interazione utente e con impatto pieno su confidenzialità, integrità e disponibilità. Il priority_score calcolato la colloca in fascia critical. La superficie esposta include le varianti cloud e PaaS di FortiSandbox, oltre alle versioni on-premise.

CVE-2025-67862 presenta un vettore CVSS:3.1 AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H/E:P/RL:O/RC:C con score base 6.0: vettore locale, richiede privilegi elevati (amministratore autenticato). La metrica temporale E:P indica un proof-of-concept disponibile; RL:O indica una patch ufficiale rilasciata. Il priority_score la colloca in fascia low. L'impatto rimane confinato allo scope del processo corrente (S:U).

Le due CVE differiscono sostanzialmente per prerequisiti: CVE-2026-25089 non richiede autenticazione ed è raggiungibile via rete, mentre CVE-2025-67862 richiede accesso locale con credenziali amministrative.

I prodotti impattati da CVE-2025-67862 includono FortiOS nelle versioni 6.4 (tutte), 7.0.0–7.0.16, 7.2.0–7.2.10, 7.4.0–7.4.7, 7.6.0–7.6.2 e FortiProxy nelle versioni 7.0 (tutte), 7.2.0–7.2.14, 7.4.0–7.4.10, 7.6.0–7.6.3.

Nessuna delle due CVE risulta nel catalogo CISA KEV. Per CVE-2026-25089 non risultano exploit in the wild o proof-of-concept pubblici. Per CVE-2025-67862 è presente un proof-of-concept (E:P nel vettore CVSS temporale).

CVE

CVE	CVSS	EPSS	priority
CVE-2026-25089	3.1: 9.0	2.027% \| 84.15%	critical
CVE-2025-67862	3.1: 6.0	0.012% \| 1.73%	low

NOTA: Le vulnerabilità sono ordinate per priorità operativa, calcolata combinando la gravità teorica (CVSS) con la probabilità reale di sfruttamento (EPSS).

tipi di attacco

CWE	descrizione
CWE-78	Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
CWE-1244	Internal Asset Exposed to Unsafe Debug Access Level or State

prodotti impattati

vendor	prodotto & versioni
fortinet	fortios 7.6.1 7.6.0 7.4.6 7.4.5 7.4.4 7.4.3 7.4.2 7.4.1 7.4.0 7.2.10 7.2.9 7.2.8 7.2.7 7.2.6 7.2.5 7.2.4 7.2.3 7.2.2 7.2.1 7.2.0 7.0.16 7.0.15 7.0.14 7.0.13 7.0.12 7.0.11 7.0.10 7.0.9 7.0.8 7.0.7 7.0.6 7.0.5 7.0.4 7.0.3 7.0.2 7.0.1 7.0.0 6.4.16 6.4.15 6.4.14 6.4.13 6.4.12 6.4.11 6.4.10 6.4.9 6.4.8 6.4.7 6.4.6 6.4.5 6.4.4 6.4.3 6.4.2 6.4.1 6.4.0 fortiproxy 7.6.3 7.6.2 7.6.1 7.6.0 7.4.10 7.4.9 7.4.8 7.4.7 7.4.6 7.4.5 7.4.4 7.4.3 7.4.2 7.4.1 7.4.0 7.2.14 7.2.13 7.2.12 7.2.11 7.2.10 7.2.9 7.2.8 7.2.7 7.2.6 7.2.5 7.2.4 7.2.3 7.2.2 7.2.1 7.2.0 7.0.23 7.0.22 7.0.21 7.0.20 7.0.19 7.0.18 7.0.17 7.0.16 7.0.15 7.0.14 7.0.13 7.0.12 7.0.11 7.0.10 7.0.9 7.0.8 7.0.7 7.0.6 7.0.5 7.0.4 7.0.3 7.0.2 7.0.1 7.0.0 fortisandbox 5.0.5 5.0.4 5.0.3 5.0.2 5.0.1 5.0.0 4.4.8 4.4.7 4.4.6 4.4.5 4.4.4 4.4.3 4.4.2 4.4.1 4.4.0 4.2.8 4.2.7 4.2.6 4.2.5 4.2.4 4.2.3 4.2.2 4.2.1 fortisandboxcloud 5.0.5 5.0.4 fortisandboxpaas 5.0.5 5.0.4

vendor

prodotto & versioni

fortinet

fortios

7.6.1
7.6.0
7.4.6
7.4.5
7.4.4
7.4.3
7.4.2
7.4.1
7.4.0
7.2.10
7.2.9
7.2.8
7.2.7
7.2.6
7.2.5
7.2.4
7.2.3
7.2.2
7.2.1
7.2.0
7.0.16
7.0.15
7.0.14
7.0.13
7.0.12
7.0.11
7.0.10
7.0.9
7.0.8
7.0.7
7.0.6
7.0.5
7.0.4
7.0.3
7.0.2
7.0.1
7.0.0
6.4.16
6.4.15
6.4.14
6.4.13
6.4.12
6.4.11
6.4.10
6.4.9
6.4.8
6.4.7
6.4.6
6.4.5
6.4.4
6.4.3
6.4.2
6.4.1
6.4.0

fortiproxy

7.6.3
7.6.2
7.6.1
7.6.0
7.4.10
7.4.9
7.4.8
7.4.7
7.4.6
7.4.5
7.4.4
7.4.3
7.4.2
7.4.1
7.4.0
7.2.14
7.2.13
7.2.12
7.2.11
7.2.10
7.2.9
7.2.8
7.2.7
7.2.6
7.2.5
7.2.4
7.2.3
7.2.2
7.2.1
7.2.0
7.0.23
7.0.22
7.0.21
7.0.20
7.0.19
7.0.18
7.0.17
7.0.16
7.0.15
7.0.14
7.0.13
7.0.12
7.0.11
7.0.10
7.0.9
7.0.8
7.0.7
7.0.6
7.0.5
7.0.4
7.0.3
7.0.2
7.0.1
7.0.0

fortisandbox

5.0.5
5.0.4
5.0.3
5.0.2
5.0.1
5.0.0
4.4.8
4.4.7
4.4.6
4.4.5
4.4.4
4.4.3
4.4.2
4.4.1
4.4.0
4.2.8
4.2.7
4.2.6
4.2.5
4.2.4
4.2.3
4.2.2
4.2.1

fortisandboxcloud

5.0.5
5.0.4

fortisandboxpaas

5.0.5
5.0.4

riferimenti

fortiguard.fortinet.com/psirt/FG-IR-26-141

fortiguard.fortinet.com/psirt/FG-IR-26-143