Fortinet korjasi 18 tietoturva-aukkoa, mukaan lukien kriittisiä

Tietoturvayhtiö Fortinet paikkasi huhtikuussa yhteensä 18 tietoturva-aukkoa eri tuotteissaan. Yhtiö julkaisi päivitykset yhden päivän aikana, ja osa niistä luokiteltiin kriittisiksi riskeiksi.

Kaksi kriittistä haavoittuvuutta koskee FortiSandbox-käyttöjärjestelmää. Riittämätön elementtien suodatus mahdollistaa valtuuttamattomien hyökkääjien suorittaa haitallisia komentoja muokattujen HTTP-pyyntöjen avulla (CVE-2026-39808, CVSS 9.1). Toinen kriittinen haavoittuvuus liittyy polunläpäisyyn FortiSandboxin JRPC API:ssa (CVE-2026-39813, CVSS 9.1), ja se mahdollistaa todennuksen ohittamisen.

Lisäksi FortiDDoS-F-tuotteessa (versiot 7.2.1 ja 7.2.2) havaittiin SQL-injektiota koskeva haavoittuvuus (CVE-2026-39815, CVSS 7.9), joka luokiteltiin korkeaksi riskiksi. FortiAnalyzer Cloud ja FortiManager Cloud -tuotteissa (versiot 7.6) on puskurin ylivuotoon liittyvä korkean riskin haavoittuvuus (CVE-2026-22828, CVSS 7.3), joka mahdollistaa haitallisen koodin suorittamisen.

FortiClient EMS -tuotteessa paljastui SQL-injektiohaavoittuvuus (CVE-2026-39809, CVSS 7.1), jota pidetään korkean riskin kohteena. Fortinet sulki myös useita muita haavoittuvuuksia, joiden riskitasoksi arvioitiin keskitason tai matala.

Järjestelmien ylläpitäjien tulisi tarkistaa, käyttävätkö he haavoittuvia ohjelmistoversioita ja asentaa saatavilla olevat päivitykset mahdollisimman pian.