注目★★★★★CISA KEV
Fortinet FortiSandbox に認証なし RCE、3 日以内パッチ必須
30秒で把握
- 1FortiSandbox 複数バージョンに認証なし OS コマンドインジェクション脆弱性、CVSS 9.8 で RCE 可能
- 2CISA KEV カタログ登録・2026 年 7 月 19 日までの修正義務・マルウェア検査基盤が狙われるリスク
- 3ベンダーパッチ確認・即アップグレード、または機能停止・代替製品への移行を推奨
要約
Fortinet FortiSandbox 5.0.0~5.0.5、4.4.0~4.4.8、4.2 系、および FortiSandbox Cloud・PaaS の 5.0.4~5.0.5 に OS コマンドインジェクション脆弱性が存在する。認証なしで HTTP リクエストを送信するだけで任意コマンド実行 (RCE) が可能で、CVSS 3.1 スコアは 9.8 (重大) である。CISA が Known Exploited Vulnerabilities (KEV) カタログに登録し、2026 年 7 月 19 日までのパッチ適用を義務付けた。FortiSandbox をデータセンタやセキュリティ境界に配置する組織は、ベンダーの脆弱性情報に従い即座に修正版へアップグレードまたは代替手段へ切り替えが必須である。
あなたへの影響
この記事が日本のエンジニアに与える影響と、今日取るべきアクションは、Personal会員向けに掲載しています。
クレカ不要・いつでも解約