В FortiSandbox появился публичный PoC для критической уязвимости: можно выполнить команды без авторизации

Уязвимость в FortiSandbox, которую Fortinet закрыла в апреле, получила публичный PoC — то есть рабочую демонстрацию эксплуатации. Речь идет о CVE-2026-39808: это внедрение системных команд, позволяющее удаленно выполнить произвольный код или команды без входа в систему. Вендор оценил проблему как критическую, с баллом CVSS 9,1 из 10.

Проблема затрагивает FortiSandbox ветки 4.4 — от версии 4.4.0 до 4.4.8. Fortinet рекомендует обновление как минимум до 4.4.9. По данным карточки CVE, под удар также попадают некоторые выпуски FortiSandbox PaaS — от 21.3.4055 до 23.4.4374; для них в качестве исправления указан переход на 5.0.2 и выше. При этом обычная ветка FortiSandbox 5.0, по данным PSIRT-уведомления Fortinet, этой конкретной проблемой не затронута.

Суть бага — в недостаточной фильтрации входных данных в API. Fortinet в своем бюллетене прямо пишет об уязвимости класса OS command injection, то есть о внедрении команд операционной системы. В опубликованном разборе говорится, что атака проходит через endpoint /fortisandbox/job-detail/tracer-behavior, а опасный параметр — jid. Исследователь показал, что даже один специально сформированный HTTP-запрос может привести к выполнению команды на стороне сервера.

Главная неприятность в том, что авторизация для такой атаки не нужна. Fortinet указывает тип атаки как unauthenticated, а влияние описывает как возможность выполнить несанкционированный код или команды. Проще говоря, если уязвимый интерфейс доступен злоумышленнику, тот может попробовать получить выполнение команд сразу, без подбора логина и пароля.

Отдельный риск создает именно появление публичного PoC. Пока Fortinet отмечает, что на момент публикации advisory уязвимость не числилась как уже эксплуатируемая в реальных атаках, однако после выхода рабочего примера окно риска обычно резко сужается: баг становится намного проще проверять и автоматизировать. В публикации Cyber Security News сказано, что PoC уже выложен публично, а вендор в advisory указывает, что проблема исправлена и требует срочного обновления.

Fortinet также раскрыла некоторые детали бюллетеня. Уязвимость получила номер FG-IR-26-100 и была опубликована 14 апреля 2026 года. Вендор отдельно благодарит Samuel de Lucas Maroto из KPMG Spain за ответственное раскрытие. Это важная деталь: баг не всплыл случайно в открытом доступе, а сначала прошел через стандартную процедуру уведомления производителя и выпуск исправления.

FortiSandbox — это не еще один веб-сервис, а песочница для анализа подозрительных файлов и вредоносного кода. Такие системы часто стоят в контуре ИБ и взаимодействуют с другими защитными продуктами. Поэтому компрометация самой песочницы особенно неприятна: атакующий получает точку входа в инфраструктуру безопасности, которая по определению работает с опасными объектами и нередко имеет повышенные привилегии и доступ к внутренним данным. Описание продукта Fortinet подтверждает, что FortiSandbox используется для анализа вредоносной активности и интегрируется с другими решениями в экосистеме вендора.

На практике это означает, что администраторам стоит не просто поставить патч, а проверить, не был ли доступен интерфейс FortiSandbox извне, и просмотреть логи на предмет подозрительных запросов к упомянутому endpoint. В материале о PoC отдельно советуют искать аномальные GET-запросы к /fortisandbox/job-detail/tracer-behavior и ограничить доступ к интерфейсам управления по доверенным IP-адресам. Это выглядит как разумная временная мера для тех, кто еще не успел обновиться.

Вывод здесь один: после появления публичного PoC CVE-2026-39808 стоит воспринимать не как очередную критическую уязвимость из рассылки, а как прямой повод немедленно проверить версию FortiSandbox и закрыть внешний доступ к интерфейсу, если он вообще был открыт.