Fortinet ha publicado dos avisos críticos que afectan a FortiAuthenticator y FortiSandbox, dos productos muy presentes en entornos corporativos. Ambos fallos pueden explotarse sin autenticación previa y abren la puerta a la ejecución de código o de comandos no autorizados, un escenario que obliga a revisar versiones y acelerar el despliegue de parches.
La compañía dio a conocer los avisos este 12 de mayo y la lectura, más allá del detalle técnico, es bastante directa: no se trata de fallos menores ni de esos problemas que pueden dejarse para la siguiente ventana de mantenimiento. En los dos casos, la propia documentación de Fortinet describe un escenario en el que un atacante no autenticado puede lanzar peticiones manipuladas para ejecutar código o comandos sobre sistemas vulnerables, una combinación especialmente delicada cuando estos equipos están expuestos o cumplen funciones críticas dentro de la red.
El primero de los fallos es CVE-2026-44277, una vulnerabilidad de control de acceso incorrecto en la API de FortiAuthenticator. Según el aviso oficial, afecta a las ramas 6.5, 6.6 y 8.0 en varias versiones concretas y queda corregido al actualizar a 6.5.7, 6.6.9 y 8.0.3. La buena noticia para quienes usan la edición en la nube es que FortiAuthenticator Cloud no está afectado.
El segundo es CVE-2026-26083, un fallo de autorización insuficiente en la interfaz web de FortiSandbox, FortiSandbox Cloud y FortiSandbox PaaS. En este caso, el problema también puede aprovecharse sin credenciales válidas mediante solicitudes HTTP manipuladas. Fortinet indica que las instalaciones locales afectadas deben actualizar, como mínimo, a FortiSandbox 5.0.2 o 4.4.9, mientras que en las variantes cloud y PaaS la recomendación pasa por migrar a una versión ya corregida.
La severidad no sorprende. Tanto FortiAuthenticator como FortiSandbox ocupan posiciones sensibles dentro de muchas arquitecturas empresariales: el primero en la capa de identidad y control de acceso, el segundo en tareas de análisis y contención de ficheros sospechosos. Cuando una vulnerabilidad de este tipo afecta a piezas tan centrales, el problema deja de ser solo técnico y pasa a ser operativo. No hace falta explotación masiva confirmada para que el parcheo suba al primer nivel de prioridad.
De hecho, el contexto tampoco invita a relajarse. BleepingComputer recuerda que los fallos en productos de Fortinet han sido aprovechados en otras ocasiones por actores ligados al ransomware y al espionaje, y que este fabricante acumula un historial reciente de vulnerabilidades críticas que han acabado entrando en circuitos de explotación reales. En esta ocasión, la firma no ha marcado estos dos fallos como explotados activamente, pero esa ausencia de evidencia pública no equivale a riesgo bajo cuando hablamos de dispositivos y plataformas que suelen estar muy expuestos.
Para los administradores, la recomendación práctica es clara. Conviene revisar de inmediato las versiones desplegadas, confirmar si existe exposición externa de estas consolas o servicios y adelantar la actualización allí donde sea posible. Si el parcheo no puede aplicarse en el corto plazo, tiene sentido reforzar controles perimetrales, restringir el acceso administrativo a segmentos de confianza y revisar la telemetría disponible para detectar peticiones anómalas contra las interfaces afectadas.
Los dos avisos publicados por Fortinet no describen un incidente abierto, pero sí un riesgo serio y muy utilizable si los sistemas siguen sin actualizar. En productos que gestionan autenticación y análisis de amenazas, una vulnerabilidad crítica sin autenticar merece muy poco margen. La mejor respuesta, en este caso, sigue siendo la de siempre: comprobar versiones, parchear cuanto antes y no dar por hecho que la falta de explotación pública ofrece tiempo de sobra.
Más información
- BleepingComputer – Fortinet warns of critical RCE flaws in FortiSandbox and FortiAuthenticator – https://www.bleepingcomputer.com/news/security/fortinet-warns-of-critical-rce-flaws-in-fortisandbox-and-fortiauthenticator/
- FortiGuard Labs – Improper access control on API endpoints – https://fortiguard.fortinet.com/psirt/FG-IR-26-128
- FortiGuard Labs – Incorrect global authorization – https://fortiguard.fortinet.com/psirt/FG-IR-26-136
Deja una respuesta