文章总结： 攻击者正利用FortiSandbox三大漏洞发起攻击，其中CVE-2026-39813为首次观测的路径遍历漏洞，CVE-2026-39808和CVE-2026-25089为命令注入漏洞，均无需认证即可获取root权限。攻击通过向/jsonrpc/API发送恶意POST请求实施，可能将设备武器化作为内网跳板。建议受影响用户立即更新补丁并检查相关入侵指标。 综合评分： 85 文章分类： 漏洞分析,威胁情报,应急响应,解决方案,网络安全

攻击者正利用FortiSandbox三大漏洞发起攻击，未认证即可获取root权限

FreeBuf

2026年6月17日 19:00 上海

在小说阅读器读本章

去阅读

威胁攻击者正在积极利用Fortinet FortiSandbox平台的多个关键漏洞，过去24小时的实时攻击遥测数据已确认存在利用尝试。Defused安全团队标记了三个正被活跃利用的CVE漏洞，其中包括此前无公开利用记录的CVE-2026-39813。

伪装成Fortinet FortiSandbox实例的蜜罐传感器和欺骗基础设施已捕获针对三个漏洞的利用尝试，攻击者均通过向/jsonrpc/ API端点发送精心构造的POST请求触发，攻击流量均通过443端口传输。

Part01

漏洞技术细节

CVE-2026-39813：FortiSandbox JRPC API中的路径遍历漏洞(CWE-24)，允许未经身份验证的远程攻击者通过特制HTTP请求绕过认证。攻击者通过向API注入类似session: “../../tmp/”的遍历序列，可在无需凭证的情况下访问敏感系统数据(包括配置备份、序列号和版本详情)。该漏洞此前无野外利用记录，本次观测到的攻击集群属首次公开案例。

CVE-2026-39808：FortiSandbox API端点中的操作系统命令注入缺陷(CWE-78)，允许未经认证的攻击者以root权限执行任意命令。自2026年4月起已有公开PoC利用代码，攻击者通过管道串联Unix命令利用jid GET参数实施攻击，当前已观测到与该PoC一致的攻击载荷。

CVE-2026-25089：第二个操作系统命令注入漏洞(CWE-78)，影响FortiSandbox Web UI 5.0.0–5.0.5、4.4.0–4.4.8、全版本4.2以及FortiSandbox Cloud/PaaS部署。值得注意的是，该漏洞目前尚无有效的公开利用代码。观测到的利用尝试呈现”振动编码”特征(即可能由AI辅助或启发式生成的逻辑缺陷利用代码)，表明攻击者正在试探性探测而非使用已验证的有效载荷。

Part02

受影响版本

这三个漏洞均可通过单次HTTP请求在未认证状态下触发，这意味着暴露在外的FortiSandbox管理接口无需任何前置访问权限即可被利用。

遭入侵的FortiSandbox可能被武器化，将恶意文件标记为安全文件传递给依赖的Fortinet产品，或作为企业网络内部的横向移动跳板。观测到的攻击者IP 141.11.43[.]175归属于AS136510 Streamline Servers Pty Ltd(新加坡)，具有高威胁评分。

Part02

入侵指标(IOC)

参考来源：

Critical Fortinet FortiSandbox Vulnerabilities Actively Exploited in Attacks

Critical Fortinet FortiSandbox Vulnerabilities Actively Exploited in Attacks

推荐阅读

#

#

#

#

#

#

#

#

#

#

#

#

#

#

#

电报讨论

#

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《攻击者正利用FortiSandbox三大漏洞发起攻击，未认证即可获取root权限》