Los malos actores están explotando múltiples vulnerabilidades de seguridad en Fortinet FortiSandbox, según la firma de inteligencia de amenazas Defused Cyber.
En una publicación compartida en X, la compañía dijo que observó la explotación de CVE-2026-39813, CVE-2026-39808 y CVE-2026-25089 durante las últimas 24 horas.
CVE-2026-39813 (puntaje CVSS: 9.1) hace referencia a una vulnerabilidad de recorrido de ruta en la API JRPC de FortiSandbox que podría permitir a un atacante no autenticado eludir la autenticación mediante solicitudes HTTP especialmente diseñadas.
La segunda falla, CVE-2026-39808 (puntaje CVSS: 9.1), es un caso de inyección de comandos del sistema operativo que podría permitir a un atacante no autenticado ejecutar código o comandos no autorizados a través de solicitudes HTTP diseñadas. Fortinet parchó ambas vulnerabilidades en abril de 2026.
CVE-2026-25089 (puntuación CVSS: 9.1), por otro lado, se solucionó la semana pasada, y Fortinet lo describió como una inyección de comando del sistema operativo que afecta a FortiSandbox, FortiSandbox Cloud y FortiSandbox PaaS WEB UI y que podría permitir que un atacante no autenticado ejecute comandos no autorizados a través de solicitudes HTTP específicamente diseñadas.
Defused Cyber señaló que el exploit para CVE-2026-25089 no solo muestra signos de haber sido desarrollado utilizando un modelo de inteligencia artificial (IA), sino que también es defectuoso. No se ha revelado públicamente un exploit funcional para la vulnerabilidad.
Las vulnerabilidades en los dispositivos Fortinet se han convertido en un pararrayos para los atacantes en los últimos años. En abril de 2026, Fortinet lanzó parches fuera de banda para una falla de seguridad crítica que afecta a FortiClient EMS (CVE-2026-35616, puntuación CVSS: 9.1) que, según dijo, había sido explotada en la naturaleza.