つみかさね

CVE-2026-26083

Critical(9.8)

CVE-2026-26083 — FortiSandbox 認証なしリモートコード実行

公開日: 2026-05-16データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
FortiSandboxFortinet4.4.0〜4.4.8 / 5.0.0〜5.0.1 / Cloud 5.0.2〜5.0.5 / PaaS 各バージョン

対応ガイド

high|対応必須セキュリティ修正影響: 限定的

推奨アクション

  1. 1FortiSandbox のバージョンを確認する
  2. 2FortiGuard PSIRT FG-IR-26-136 で修正バージョンを確認する
  3. 3修正バージョンへのアップグレードを実施する
  4. 4アップグレード前の暫定対応として管理インターフェースへのアクセスを制限する

影響対象

FortiSandbox 利用組織

補足

  • -FortiSandbox Cloud / PaaS をお使いの場合は Fortinet のサポートに確認してください
CVEFortinetFortiSandbox認証バイパスRCECritical

概要

Fortinet FortiSandbox に認可制御の欠如(Missing Authorization, CWE-862)が存在します。未認証の攻撃者が HTTP リクエストを通じて、任意のコードやコマンドを実行できる可能性があります。FortiSandbox は組織のセキュリティインフラに組み込まれることが多く、侵害された場合の影響は大きいといえます。

CVSS ベクトル

項目
Attack VectorNetwork
Attack ComplexityLow
Privileges RequiredNone
User InteractionNone
ScopeUnchanged
ConfidentialityHigh
IntegrityHigh
AvailabilityHigh
Base Score9.8 (Critical)

影響を受けるソフトウェア

製品影響バージョン
FortiSandbox4.4.0 〜 4.4.8
FortiSandbox5.0.0 〜 5.0.1
FortiSandbox Cloud5.0.2 〜 5.0.5
FortiSandbox PaaS21.3 〜 23.4 の各バージョン
FortiSandbox PaaS4.4.5 〜 4.4.8、5.0.0 〜 5.0.1

修正バージョンと回避策

FortiGuard の公式アドバイザリ(FG-IR-26-136)に従いパッチを適用してください。

  1. FortiGuard PSIRT アドバイザリを参照して修正バージョンを確認する
  2. 修正バージョンへのアップグレードを実施する
  3. アップグレード前の緩和策として、管理インターフェースへのアクセスを信頼できるホストに制限する

関連リンク

データソース: NVD (NIST), Fortinet FortiGuard AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

FortiGuard PSIRT:https://fortiguard.fortinet.com/psirt/FG-IR-26-136
NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-26083
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。