文章总结： Fortinet修复了FortiSandbox和FortiAuthenticator的两个关键漏洞CVE-2026-44277和CVE-2026-26083，前者为访问控制不当漏洞，后者为授权缺失漏洞，均可能被未授权攻击者利用进行远程代码执行。受影响版本包括FortiAuthenticator8.0/6.6/6.5系列和FortiSandbox全平台，建议用户升级至指定安全版本。目前未发现在野攻击利用。 综合评分： 85 文章分类： 漏洞预警,解决方案,网络安全,应用安全,安全运营

针对 FortiSandbox 和 FortiAuthenticator 的关键漏洞已修复

鹏鹏同学 鹏鹏同学

黑猫安全

2026年5月14日 08:45 湖北

在小说阅读器读本章

去阅读

Fortinet 修复了影响 FortiSandbox 和 FortiAuthenticator 的两个关键漏洞。这些漏洞可能使攻击者能够在未修补的系统上执行任意命令或代码。

第一个漏洞编号为 CVE-2026-44277，是 FortiAuthenticator 中的一个访问控制不当问题。

公告中写道：“FortiAuthenticator 中存在一个访问控制不当漏洞 [CWE-284]，可能允许未授权攻击者通过精心构造的请求执行未授权的代码或命令。”

以下是受影响版本：

| 版本 | 受影响版本 | 解决方案 | | — | — | — | | FortiAuthenticator 8.0 | 8.0.2 | 升级至 8.0.3 或更高版本 | | FortiAuthenticator 8.0 | 8.0.0 | 升级至 8.0.3 或更高版本 | | FortiAuthenticator 6.6 | 6.6.0 至 6.6.8 | 升级至 6.6.9 或更高版本 | | FortiAuthenticator 6.5 | 6.5.0 至 6.5.6 | 升级至 6.5.7 或更高版本 |

该漏洞不影响 FortiAuthenticator Cloud。

Fortinet 专家在内部审计过程中发现了该漏洞。

该网络安全厂商修复的第二个漏洞是 FortiSandbox 中的一个授权缺失问题，编号为 CVE-2026-26083。攻击者可利用该漏洞在受影响系统上实现远程代码执行。

公告中写道：“FortiSandbox、FortiSandbox Cloud 和 FortiSandbox PaaS 的 Web 界面中存在一个授权缺失漏洞 [CWE-862]，可能允许未授权攻击者通过 HTTP 请求执行未授权的代码或命令。”

这两个漏洞均未发现在野攻击中被利用。

来自 Fortinet 产品安全团队的 Adham El Karn 在内部发现并上报了该问题。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑猫安全 鹏鹏同学 鹏鹏同学《针对 FortiSandbox 和 FortiAuthenticator 的关键漏洞已修复》