Fortinet corrige 18 failles de sécurité, dont des critiques

Le fournisseur de cybersécurité Fortinet a traité un total de 18 vulnérabilités de sécurité dans sa gamme de produits en avril. L'entreprise a publié ces mises à jour en une seule journée, plusieurs étant classées comme des risques critiques.

Deux vulnérabilités critiques affectent le système d'exploitation FortiSandbox. Un filtrage insuffisant des éléments dans les commandes permet à des attaquants non authentifiés d'exécuter du code ou des commandes non autorisées via des requêtes HTTP manipulées (CVE-2026-39808, CVSS 9.1). Une vulnérabilité de traversée de chemin dans l'API JRPC de FortiSandbox (CVE-2026-39813, CVSS 9.1) permet également de contourner l'authentification via des requêtes HTTP soigneusement élaborées.

De plus, les versions 7.2.1 et 7.2.2 de FortiDDoS-F présentent une vulnérabilité d'injection SQL classée à haut risque (CVE-2026-39815, CVSS 7.9). FortiAnalyzer Cloud et FortiManager Cloud (version 7.6) contiennent une vulnérabilité de dépassement de tampon basé sur le tas à haut risque dans leur démon oftpd (CVE-2026-22828, CVSS 7.3), pouvant permettre l'injection de code malveillant.

FortiClient EMS présente une vulnérabilité d'injection SQL (CVE-2026-39809, CVSS 7.1), également classée à haut risque. Fortinet a en outre fermé de nombreuses autres vulnérabilités avec des niveaux de risque moyen ou faible.

Il est conseillé aux administrateurs système utilisant les produits Fortinet de vérifier leurs versions logicielles et d'appliquer rapidement les mises à jour disponibles pour atténuer ces risques de sécurité.