2 min de lectura

CISA señala dos vulnerabilidades críticas de FortiSandbox en explotación

CISA añadió dos fallos de FortiSandbox a su lista de vulnerabilidades explotadas, lo que activó plazos de parcheo para las agencias federales de EE. UU.

Imagen: The Register

Dos vulnerabilidades críticas de FortiSandbox están ahora en el catálogo de Vulnerabilidades Conocidas Explotadas (KEV) de CISA, tras la confirmación de explotación activa por parte de la agencia y la orden de que las agencias civiles federales actúen con rapidez.

Los fallos, CVE-2026-39808 y CVE-2026-25089, tienen ambos una puntuación CVSS de 9.1 y afectan a FortiSandbox, FortiSandbox Cloud y FortiSandbox PaaS. Fortinet afirma que los dos son vulnerabilidades de inyección de comandos del sistema operativo que permiten a atacantes no autenticados ejecutar comandos arbitrarios mediante solicitudes HTTP especialmente diseñadas, sin credenciales válidas y sin interacción del usuario.

Fortinet lanzó una corrección para CVE-2026-39808 en abril y para CVE-2026-25089 en junio. En los avisos publicados entonces, la compañía dijo que una explotación exitosa podría conducir a la ejecución remota de código mediante ataques de baja complejidad.

La inclusión de estas vulnerabilidades en la lista KEV por parte de CISA es significativa porque la agencia solo incorpora vulnerabilidades cuando tiene evidencia de explotación activa. Por lo general no informa quién está detrás de los ataques ni cuán extensos son. Según la Directiva Operativa Vinculante 26-04, las agencias civiles federales deben aplicar los parches antes de la fecha límite establecida por CISA o dejar de usar los productos afectados si no pueden protegerlos.

Recomendado

Cámara TP-Link Kasa expuso la ubicación GPS del hogar durante años

Fortinet no ha actualizado sus avisos para indicar que los fallos están siendo explotados en entornos reales, y la compañía no respondió a las preguntas de The Register.

Defused también informó haber observado intentos de explotación esta semana contra ambos fallos de FortiSandbox, junto con CVE-2026-39813. La firma de seguridad dijo que el exploit dirigido a CVE-2026-25089 parecía “vibecoded” y probablemente estuviera roto, y añadió que aún no ha visto un exploit público funcional.

La actualización del jueves de la lista KEV de CISA también añadió un problema separado: la vulnerabilidad de Microsoft SharePoint Server CVE-2026-58644. Ese fallo es una vulnerabilidad crítica de deserialización valorada en 9.8 que permite a atacantes autenticados con privilegios de propietario del sitio ejecutar de forma remota código arbitrario en servidores SharePoint vulnerables. Microsoft dijo que puede explotarse a través de internet con relativamente poco esfuerzo.

Sophia Reynolds

Security Editor

Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.

vía The Register

// Sigue leyendo