Deux vulnérabilités critiques touchant FortiSandbox sont désormais exploitées dans des attaques. Leur inscription au catalogue KEV de la CISA confirme l’urgence de mettre à jour les systèmes concernés.

Chargé d’isoler les fichiers et liens suspects avant qu’ils ne contaminent le réseau, FortiSandbox se retrouve à son tour dans le viseur des attaquants. Deux vulnérabilités critiques permettent de compromettre la plateforme à distance, et leur exploitation active vient d’être confirmée par la CISA. Une alerte particulièrement sensible pour un outil directement intégré aux défenses de nombreuses entreprises.
Deux failles exploitables sans compte ni clic
Les deux vulnérabilités permettent d’injecter des commandes dans le système d’exploitation. FortiSandbox ne filtre pas correctement certains caractères transmis dans une requête HTTP, si bien que des données ordinaires peuvent être interprétées comme des instructions à exécuter.
Dans le détail, CVE-2026-39808 touche une interface de programmation de FortiSandbox. CVE-2026-25089 affecte pour sa part l’interface web, plus précisément le traitement de données JSON par une fonction chargée de lancer une session VNC. Dans les deux cas, un attaquant peut envoyer une requête spécialement préparée pour exécuter ses propres commandes sur le système.
Une exploitation réussie pourrait alors permettre de modifier la configuration de l’équipement, d’y déposer du code malveillant ou d’accéder aux données qu’il traite. Les attaques peuvent être menées à distance, sans authentification ni intervention de l’utilisateur, ce qui vaut à chaque faille un score CVSS de 9,8 sur 10.
La société de renseignement sur les menaces Defused avait déjà observé des tentatives d’exploitation en juin. Leur inscription au catalogue KEV de la CISA confirme désormais officiellement leur utilisation dans des attaques.
Des correctifs disponibles depuis plusieurs semaines
CVE-2026-39808 concerne les versions 4.4.0 à 4.4.8 de FortiSandbox, qui doivent être mises à niveau vers la version 4.4.9 ou une version ultérieure. La branche 5.0 et FortiSandbox PaaS 5.0 ne sont pas affectés par cette première faille, corrigée par Fortinet le 14 avril dernier.
CVE-2026-25089 touche un périmètre plus large. Sont vulnérables FortiSandbox 5.0.0 à 5.0.5 et 4.4.0 à 4.4.8, ainsi que toutes les versions de la branche 4.2. FortiSandbox Cloud et FortiSandbox PaaS sont également concernés dans leurs versions 5.0.4 et 5.0.5. Les systèmes encore maintenus doivent passer au minimum à FortiSandbox 5.0.6 ou 4.4.9. Fortinet avait publié ces correctifs le 9 juin.
Si vous faites partie des entreprises ayant différé l’installation des correctifs, vous savez désormais ce qu’il vous reste à faire.