文章总结： Fortinet发布安全更新修复FortiSandbox和FortiAuthenticator中的两个严重RCE漏洞CVE-2026-44277和CVE-2026-26083，前者为不当访问控制漏洞可致未认证攻击者执行命令，后者为授权缺失漏洞可通过HTTP请求实现远程代码执行。建议用户立即升级至FortiAuthenticator6.5.7/6.6.9/8.0.3等修复版本，尽管漏洞暂未发现野外利用，但Fortinet漏洞常被勒索软件团伙滥用。 综合评分： 85 文章分类： 漏洞预警,解决方案,网络安全,应用安全,威胁情报

Fortinet 提醒注意 FortiSandbox 和 FortiAuthenticator 中的严重RCE漏洞

Sergiu Gatlan Sergiu Gatlan

代码卫士

2026年5月13日 14:59 北京

在小说阅读器读本章

去阅读

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

Fortinet 公司已发布安全更新，修复 FortiSandbox 和 FortiAuthenticator 中的两个严重漏洞（CVE-2026-44277和CVE-2026-26083），可能使攻击者能够在未修复的系统上执行命令或任意代码。

第一个漏洞编号为 CVE-2026-44277，影响FortiAuthenticator 身份与访问管理 (IAM) 解决方案，已在 FortiAuthenticator 6.5.7、6.6.9 和 8.0.3 版本中修复。Fortinet 在当地时间周二发布的公告中表示：“FortiAuthenticator 中存在一个不当访问控制漏洞 [CWE-284]，可导致未经身份认证的攻击者通过特殊构造的请求执行未经授权的代码或命令。”

该公司补充表示，由 Fortinet 托管和管理的身份与访问管理即服务 (IdaaS)云服务——FortiAuthenticator Cloud（原名为 FortiTrust Identity）不受该问题影响。

此外，Fortinet 今天还修复了一个授权缺失漏洞（CVE-2026-26083），它可被用于在易受攻击的 FortiSandbox 系统上实现远程代码执行。FortiSandbox 旨在防御恶意活动，包括 0day 威胁。

该公司补充称：“FortiSandbox、FortiSandbox Cloud 及 FortiSandbox PaaS 的 Web 界面中存在一个缺失授权漏洞 [CWE-862]，可能导致未经身份认证的攻击者通过 HTTP 请求执行未经授权的代码或命令。”

尽管该公司未将这两个安全漏洞标记为已遭在野利用，但 Fortinet 的漏洞经常被用于勒索软件和网络间谍攻击中，且往往以 0day 漏洞的形式出现。

例如，今年 2 月，Fortinet 修复了 FortiClient 企业管理服务器 (EMS) 平台中的另一个严重漏洞 (CVE-2026-21643)。威胁情报公司 Defused 在一个月后标记该漏洞已被积极利用。更近期的是，美国网络安全与基础设施安全局 (CISA) 于 4 月初命令联邦机构确保其 FortiClient 企业管理服务器 (EMS) 实例能够防御一个已被活跃利用的身份认证绕过漏洞 (CVE-2026-35616)。

总体而言，近年来 CISA 已将 24 个 Fortinet 漏洞纳入活跃利用的安全漏洞目录，其中 13 个还被滥用于勒索软件攻击。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

Fortinet 紧急修复已遭利用的 FortiClient EMS 严重漏洞

Fortinet 修复可导致未认证代码执行的严重 SQLi 漏洞

Fortinet 修复已遭利用的严重 FortiOS 漏洞

Fortinet：5年前的FortiOS SSL VPN 2FA绕过漏洞正遭活跃利用

Fortinet 提醒注意严重的 FortiCloud SSO 登录认证绕过漏洞

原文链接

https://www.bleepingcomputer.com/news/security/fortinet-warns-of-critical-rce-flaws-in-fortisandbox-and-fortiauthenticator/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Sergiu Gatlan Sergiu Gatlan《Fortinet 提醒注意 FortiSandbox 和 FortiAuthenticator 中的严重RCE漏洞》