CVE-2026-25089: FortiSandbox Unauthenticated Command Injection, CVSS 9.1

Diese Woche in unserer InSEKurity-of-the-Week-Reihe: eine kritische, nicht authentifizierte OS-Command-Injection in Fortinet FortiSandbox — der Netzwerk-Appliance, die Organisationen einsetzen, um verdächtige Dateien in einer kontrollierten Umgebung zu detonieren und die Malware zu erkennen, die andere Abwehrmechanismen übersehen. Verfolgt als CVE-2026-25089 und bewertet mit CVSS 9.1 (Critical), sitzt der Fehler in der Web-Management-GUI der Appliance (verknüpft mit deren „start VNC”-Funktion) und entsteht durch die unsachgemäße Neutralisierung von Sonderzeichen, die in OS-Befehlen verwendet werden (CWE-78). Ein entfernter Angreifer, der die Weboberfläche erreichen kann, sendet einen speziell präparierten HTTP-Request, der Shell-Metazeichen in einen Befehl einschleust, den die Appliance ausführt — und führt so beliebige Betriebssystembefehle ohne jede Authentifizierung oder Benutzerinteraktion aus. Fortinets eigenes Advisory bewertet die zeitliche Exploit-Reife als funktional (E:F), Security-Firmen haben Exploit-Versuche gegen das FortiSandbox-Schwachstellen-Cluster beobachtet, und der einzige vollständige Fix ist ein Upgrade. Wenn Sie FortiSandbox 4.4 oder 5.0 on-premises, in der Cloud oder als PaaS betreiben, gehört diese Schwachstelle an die Spitze Ihrer Patch-Liste.

🚨 Zusammenfassung

CVE-ID: CVE-2026-25089
CVSS-Score: 9.1 (Critical)
CVSS-Vektor: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:F/RL:O/RC:C
CWE: CWE-78 (Improper Neutralization of Special Elements used in an OS Command — „OS Command Injection”)
Betroffene Software: Fortinet FortiSandbox, FortiSandbox Cloud und FortiSandbox PaaS — die Web-Management-GUI (verknüpft mit der „start VNC”-Funktion)
Angriffsvektor: Netzwerk (entfernt, nicht authentifiziert) — ein präparierter HTTP-Request mit Shell-Metazeichen (;, |, &, $()) in einem verwundbaren Parameter
Authentifizierung erforderlich: Keine
Benutzerinteraktion: Keine
Auswirkung: Ausführung beliebiger OS-Befehle auf der Appliance mit den Rechten des Webdienstes, was zur vollständigen Kompromittierung der Appliance führt
Patch-Status: ✅ Behoben in FortiSandbox 5.0.6+, 4.4.9+ (Cloud und PaaS: 5.0.6+)
Veröffentlicht: 9. Juni 2026 (Fortinet-PSIRT-Advisory FG-IR-26-141)
Exploitation-Status: Öffentlicher Exploit-Code gemeldet (Vektor weist die Reife als funktional aus); Security-Firmen berichten von Exploit-Versuchen gegen das FortiSandbox-Schwachstellen-Cluster — Fortinet hatte eine Ausnutzung in freier Wildbahn zum Zeitpunkt der Offenlegung nicht bestätigt
CISA KEV: ❌ Zum Zeitpunkt der Erstellung nicht gelistet

🛡️ Was ist FortiSandbox?

FortiSandbox ist Fortinets Advanced-Threat-Protection-(Sandboxing-)Appliance. Ihre Aufgabe ist es, Dateien und URLs, die herkömmliche, signaturbasierte Abwehrmechanismen nicht abschließend beurteilen können — E-Mail-Anhänge, Downloads, von einer FortiGate-Firewall oder einem FortiMail-Gateway übergebene Samples — in einer isolierten, instrumentierten Umgebung zu detonieren. Indem sie beobachtet, wie sich ein unbekanntes Sample zur Laufzeit verhält (was es schreibt, welche Prozesse es startet, wohin es nach Hause telefonieren will), kann FortiSandbox Zero-Day- und ausweichende Malware erkennen, die statisches Scannen durchwinken würde, und dieses Urteil an den Rest der Fortinet Security Fabric zurückmelden, sodass die Bedrohung überall blockiert wird.

Weil sie im Zentrum dieser Erkennungs-Pipeline sitzt, ist FortiSandbox ein zutiefst vertrauenswürdiger, tief vernetzter Knoten: Sie empfängt Dateien von vielen anderen Sicherheitsgeräten, hält Threat-Intelligence- und Analysedaten vor und ist in die umfassendere Fabric eingebunden. Die Ironie von CVE-2026-25089 ist kaum zu übersehen — die Box, die gebaut wurde, um Angreifercode sicher zu analysieren, kann selbst dazu gebracht werden, Angreiferbefehle auszuführen. Ein Fuß in der Tür hier ist ein Fuß in der Tür im Sicherheits-Stack, mit privilegiertem Zugriff auf genau jene Systeme, die Malware fernhalten sollen.

Typische Anwendungsfälle

Advanced Threat Protection: Detonation unbekannter Dateien und URLs zur Erkennung von Zero-Day-, gezielter und ausweichender Malware.
Security-Fabric-Integration: Teilen von Urteilen mit FortiGate, FortiMail, FortiClient und FortiWeb, sodass eine einzige Detonation die gesamte Umgebung schützt.
E-Mail- und Web-Sicherheit: Inspektion von Anhängen und Downloads, die von Mail- und Web-Gateways übergeben werden, bevor sie die Benutzer erreichen.
Incident Response & Threat Hunting: Analyse verdächtiger Samples und Erstellung detaillierter Verhaltensberichte für SOC-Teams.
Compliance & Sorgfaltspflicht: Nachweis mehrschichtiger, verhaltensbasierter Malware-Abwehr für regulatorische und Audit-Anforderungen.

Weil FortiSandbox tief in Unternehmens-Sicherheitsarchitekturen eingesetzt wird und von den umgebenden Geräten als vertrauenswürdig betrachtet wird, ist eine nicht authentifizierte Command-Injection in ihrer Management-Oberfläche so gravierend, wie es nur geht.

🔍 Technische Analyse

Schwachstellenbeschreibung

CVE-2026-25089 ist eine OS-Command-Injection-Schwachstelle (CWE-78) in der FortiSandbox-Web-Management-GUI. Die Oberfläche nimmt vom Benutzer gelieferte Eingaben entgegen — in diesem Fall Eingaben, die über die „start VNC”-Web-Funktion der Appliance erreichbar sind — und baut sie in einen Befehl ein, den das zugrunde liegende Betriebssystem ausführt, ohne Shell-Metazeichen zuvor korrekt zu neutralisieren. Jeder Angreifer, der die Web-GUI über das Netzwerk erreichen kann, kann daher seine eigenen Befehle in einen ansonsten legitimen Request einbetten und die Appliance dazu bringen, sie auszuführen.

Die entscheidende Eigenschaft ist, dass dies vor der Authentifizierung geschieht: Der verwundbare Codepfad ist ohne gültige Anmeldedaten und ohne jede Aktion eines legitimen Benutzers erreichbar. Der Angreifer sendet einfach einen präparierten HTTP-Request, dessen Parameter Shell-Trennzeichen wie ein Semikolon (;), eine Pipe (|), ein Ampersand (&) oder eine Befehlssubstitution ($(...)) enthalten, und der eingeschleuste Teil wird direkt an die OS-Shell übergeben. Das Ergebnis ist nicht authentifizierte Remote-Befehlsausführung mit den Rechten des Webdienstes.

Ursachenanalyse (Root Cause)

Das Kernversagen ist ein klassisches Lehrbuchbeispiel — nicht vertrauenswürdige Eingaben, die ohne Bereinigung in eine Shell gelangen:

Unbereinigte Eingaben in einem OS-Befehl: Die GUI baut einen Betriebssystembefehl aus angreiferkontrollierbaren Eingaben und neutralisiert Shell-Metazeichen nie — das definierende Muster von CWE-78.
Keine Authentifizierung im verwundbaren Pfad: Der betroffene Code ist ohne Anmeldedaten erreichbar, sodass es keine Vertrauensgrenze zwischen einem anonymen Netzwerk-Client und der Befehlsausführung gibt.
Shell-Metazeichen erreichen den Interpreter: Trennzeichen und Substitutionssyntax (;, |, &, $()) werden als Befehlsstruktur statt als reine Daten behandelt, sodass der Angreifer eigene Befehle anhängen oder verketten kann.
Rechte des Webdienstes: Eingeschleuste Befehle laufen mit den Rechten des Webprozesses der Appliance, was auf einer Sicherheits-Appliance alles andere als harmlos ist.
Durch eine Management-Funktion exponiert: Die Angriffsfläche ist mit einer eingebauten Web-GUI-Funktion (der „start VNC”-Funktion) verknüpft, sodass der verwundbare Pfad standardmäßig ausgeliefert wird, statt nur bei aktivierter exotischer Option.
Über das Netzwerk erreichbar, vor der Authentifizierung: Die gesamte Kette funktioniert aus der Ferne, ohne Anmeldedaten und ohne Benutzerinteraktion.

Angriffsvektor

Zum Waffnen des Fehlers erreicht ein Angreifer die FortiSandbox-Web-GUI und bettet Shell-Metazeichen in einen verwundbaren Parameter ein, sodass die Appliance vom Angreifer gewählte Befehle ausführt. Die folgenden Snippets dienen nur zur Veranschaulichung — sie zeigen die Form des Angriffs, nicht einen schlüsselfertigen Exploit:

# Schritt 1: Über das Netzwerk erreichbare FortiSandbox-Weboberflaechen finden.
# Die Management-GUI lauscht typischerweise auf HTTPS (TCP/443).
nmap -sT -p 443 --open -oG fortisandbox-candidates.gnmap 203.0.113.0/24

# Schritt 2: Appliance fingerprinten -- die FortiSandbox-Login-Seite und
# Produkt-Banner identifizieren naeher zu untersuchende Kandidaten.
curl -sk "https://<fortisandbox-host>/" | grep -iE "fortisandbox|fortinet"

# Schritt 3 (VERANSCHAULICHUNG): Shell-Metazeichen in einen Parameter
# einschleusen, den die GUI an einen OS-Befehl uebergibt. Ein verwundbarer
# Host fuehrt den angehaengten Befehl (hier eine harmlose Markierung) mit
# den Rechten des Webdienstes aus. Dies implementiert NICHT CVE-2026-25089.
POST /<vulnerable-gui-endpoint> HTTP/1.1
Host: <fortisandbox-host>
Content-Type: application/x-www-form-urlencoded

param=value;id > /tmp/poc

# Schritt 4 (VERANSCHAULICHUNG): Befehlssubstitution erzielt dasselbe Ergebnis
# und kann verwendet werden, wo Trennzeichen gefiltert werden, Substitution
# aber nicht.
POST /<vulnerable-gui-endpoint> HTTP/1.1
Host: <fortisandbox-host>
Content-Type: application/x-www-form-urlencoded

param=$(id>/tmp/poc)

Eine vereinfachte Sicht auf die Angriffskette:

Angreifer                                         Opfer (FortiSandbox Web-GUI)
   |                                                            |
   |  Praeparierter HTTP-Request an GUI (keine Auth)            |
   |  Parameter = value ; <Angreiferbefehl>                    |
   |----------------------------------------------------------->|  Eingabe in einen
   |                                                            |  OS-Befehl verkettet
   |                                                            |  (CWE-78: keine
   |                                                            |  Neutralisierung)
   |                                                            |
   |                                                            |  Shell fuehrt den
   |                                                            |  eingeschleusten Befehl
   |                                                            |  als Webdienst aus
   |                                                            |
   |<--------------- Befehlsausgabe / Shell ------------------ |  vollstaendige
   v                                                            v  Kompromittierung

Der obige Ablauf dient nur zur Veranschaulichung — er implementiert nicht CVE-2026-25089. Der eigentliche Exploit missbraucht einen Parameter in der FortiSandbox-Web-GUI (verknüpft mit der „start VNC”-Funktion), der ohne Bereinigung an einen OS-Befehl übergeben wird, sodass ein nicht authentifizierter Angreifer über einen präparierten HTTP-Request beliebige Befehle ausführen kann.

Ausnutzung in freier Wildbahn

9. Juni 2026 — Fortinet veröffentlicht das Advisory FG-IR-26-141 und gepatchte Builds; der zeitliche Vektor (E:F) weist eine funktionale Exploit-Code-Reife aus.
16. Juni 2026 — Die Threat-Intelligence-Firma Defused meldet beobachtete Exploit-Versuche gegen das FortiSandbox-Schwachstellen-Cluster (CVE-2026-25089 neben dem früheren CVE-2026-39813 und CVE-2026-39808); Berichte weisen darauf hin, dass einer der kursierenden Exploits „vibecoded” und wahrscheinlich fehlerhaft wirkte und dass Fortinet eine Ausnutzung in freier Wildbahn dieser spezifischen Fehler nicht bestätigt hatte.
Kontext — Forscher merken an, dass FortiSandbox historisch kein häufiges Ziel war, dass aber die Kombination aus öffentlichen technischen Details und KI-gestützter Exploit-Entwicklung die Aufmerksamkeit der Angreifer auf die offengelegten FortiSandbox-Fehler ausweitet.
Laufend — Mit öffentlichem Exploit-Code und einem kritischen, nicht authentifizierten Primitiv ist mit opportunistischem Massen-Scanning nach exponierten FortiSandbox-Management-Oberflächen zu rechnen.

Auswirkungen nach erfolgreicher Ausnutzung

Befehlsausführung auf der Appliance: Der Angreifer führt Befehle auf FortiSandbox mit den Rechten des Webdienstes aus.
Kompromittierung eines Sicherheitskontrollmechanismus: Kontrolle über die Sandbox erlaubt es einem Eindringling, Malware-Urteile zu unterdrücken oder zu fälschen — sodass echte Bedrohungen unentdeckt durch die Fabric segeln.
Offenlegung von Threat-Intelligence- und Analysedaten: Übermittelte Samples, Urteile und Konfigurationsdaten werden für den Angreifer lesbar.
Laterale Bewegung über die Security Fabric: FortiSandbox wird von FortiGate, FortiMail und anderen Geräten als vertrauenswürdig eingestuft und ist mit ihnen verbunden, was zahlreiche Pivot-Pfade bietet.
Persistenz: Ein Angreifer mit Befehlsausführung kann Backdoors, betrügerische Konten oder geplante Aufgaben einrichten, um Neustarts und Sitzungen zu überdauern.
Sandbox-Umgehung im großen Stil: Ein Angreifer, der die Detonations-Engine besitzt, kann sie darauf trainieren, sein eigenes Werkzeug-Arsenal umgebungsweit zu ignorieren.

⚠️ Auswirkungsbewertung

Unmittelbare Auswirkung

Nicht authentifizierte, über das Netzwerk erreichbare Befehlsausführung: keine Anmeldedaten und keine Benutzerinteraktion — nur Netzwerkzugriff auf die Web-GUI.
Hochwertige Sicherheits-Appliance: FortiSandbox ist ein vertrauenswürdiger Knoten, der in die umfassendere Fortinet Security Fabric eingebunden ist.
Öffentlicher Exploit-Code: Fortinets eigene funktionale (E:F)-Bewertung und Drittberichte bedeuten, dass die Waffnung real und nicht hypothetisch ist.
Die Detonations-Engine wird zum Einstiegspunkt: Die Kompromittierung der Sandbox untergräbt die Fähigkeit der Organisation, genau die Malware zu erkennen, für die sie angeschafft wurde.
Breite Verbreitung: On-premises-, Cloud- und PaaS-Varianten sind alle betroffen.

Betroffene Versionen

Branch	Status	Hinweise
FortiSandbox 5.0.0 — 5.0.5	Betroffen	Upgrade auf 5.0.6 oder höher
FortiSandbox 4.4.0 — 4.4.8	Betroffen	Upgrade auf 4.4.9 oder höher
FortiSandbox Cloud 5.0.4 — 5.0.5	Betroffen	Upgrade auf 5.0.6 oder höher
FortiSandbox PaaS 5.0.4 — 5.0.5	Betroffen	Upgrade auf 5.0.6 oder höher
FortiSandbox 5.0.6+	Behoben	Enthält den Fix
FortiSandbox 4.4.9+	Behoben	Enthält den Fix

Das Fortinet-Advisory FG-IR-26-141 ist die maßgebliche Quelle für die genauen gepatchten Builds und für Hinweise zu älteren Branches (z. B. 4.2.x). Gleichen Sie es immer ab, bevor Sie ausrollen, und bestätigen Sie die laufende Version jeder Appliance.

Betroffene Umgebungen

On-premises-FortiSandbox-4.4.x-/5.0.x-Appliances: Der verwundbare GUI-Pfad wird mit diesen Releases ausgeliefert.
FortiSandbox-Cloud- und -PaaS-Deployments (5.0.4 — 5.0.5): Die gehosteten Varianten sind gleichermaßen betroffen.
Über das Netzwerk erreichbare Management-Oberflächen: jede Appliance, deren Web-GUI ein Angreifer erreichen kann — ins Internet exponierte Instanzen sind am stärksten gefährdet.
Security-Fabric-Kerninfrastruktur: die Systeme, deren Kompromittierung am meisten schmerzt.
Jede Umgebung, die noch nicht auf 5.0.6 / 4.4.9 oder höher aktualisiert wurde.

Angreiferprofile

Opportunistische Scanner: Mit öffentlichem Exploit-Code werden exponierte FortiSandbox-Oberflächen massenhaft abgesucht.
Ransomware-Affiliates & Initial-Access-Broker: Befehlsausführung auf einer vertrauenswürdigen Sicherheits-Appliance ist erstklassiger Zugang.
APT-Gruppen: Kontrolle über eine Malware-Detonations-Engine ermöglicht heimliche Spionage und Erkennungsumgehung.
Insider / pivotierende Angreifer: Wer bereits im Netzwerk ist, kann Erreichbarkeit trivial in eine vollständige Appliance-Kompromittierung verwandeln.

🛡️ Gegenmaßnahmen

Sofortmaßnahmen (Priorität 1) ⚡

Aktualisieren Sie jede betroffene FortiSandbox-Instanz sofort. Dies ist der einzige vollständige Fix:

# Laufende Version pruefen (CLI). Gepatchte Builds gemaess FG-IR-26-141:
#   FortiSandbox 5.0.x        -> 5.0.6 oder hoeher
#   FortiSandbox 4.4.x        -> 4.4.9 oder hoeher
#   FortiSandbox Cloud/PaaS   -> 5.0.6 oder hoeher
get system status

# Fuer Cloud/PaaS oder aeltere Branches (z. B. 4.2.x) den Hinweisen zu den
# gepatchten Versionen in FG-IR-26-141 folgen und ggf. Fortinet-Support kontaktieren.

Zugriff auf die Management-GUI einschränken. Bis jede Appliance gepatcht ist, stellen Sie sicher, dass die Weboberfläche nur aus vertrauenswürdigen Administrationsnetzen erreichbar ist. Auf FortiSandbox den Management-Zugriff per Interface und Trusted Hosts einschränken:

# Begrenzen, welche Interfaces HTTPS-Administration akzeptieren, und die
# Quelladressen auf bekannte Admin-Bereiche beschraenken.
config system interface
    edit port1
        set allowaccess ping ssh
    next
end
# Die Management-Schnittstelle hinter VPN / Jump-Host und eine Allow-Liste
# stellen -- die Web-GUI darf niemals zum oeffentlichen Internet zeigen.

Exposition von außen verifizieren. Bestätigen Sie, dass die Management-Schnittstelle nicht aus nicht vertrauenswürdigen Netzen erreichbar ist:

# Von einem nicht vertrauenswuerdigen Standpunkt aus sollte die
# FortiSandbox-GUI (TCP/443) NICHT erreichbar sein. Eine Antwort hier
# bedeutet, dass die Schnittstelle exponiert ist.
curl -sk -o /dev/null -w "GUI-Status: %{http_code}\n" \
    --connect-timeout 5 "https://<fortisandbox-host>/"

Nach vorheriger Kompromittierung suchen. Da öffentlicher Exploit-Code vielen Patch-Fenstern vorausgeht, gehen Sie von einer möglichen Kompromittierung aus und untersuchen Sie:

# Auf der Appliance Administrations- und Systemlogs auf unerwartete Befehle,
# neue Konten oder anomale Aktivitaeten rund um das Offenlegungsdatum pruefen.
diagnose debug crashlog read
# Konfiguration auf unautorisierte Aenderungen pruefen (neue Admins,
# geaenderte Trusted Hosts, unerwartete geplante Aufgaben) und mit einer
# Baseline vergleichen.

Erkennungsmaßnahmen 🔍

# Erkennungen aufbauen rund um:
#   - HTTP-Requests an die FortiSandbox-GUI, deren Parameter Shell-Metazeichen
#     enthalten: ';', '|', '&', Backticks oder '$(' Befehlssubstitution.
#   - Requests an die "start VNC"-/Management-GUI-Endpunkte von unerwarteten
#     oder nicht vertrauenswuerdigen Quelladressen.
#   - Der Webdienst startet Kindprozesse / Shells (id, sh, bash, curl, wget,
#     nc) -- ein starkes Signal fuer Command Injection.
#   - Unerwartete ausgehende Verbindungen, die vom FortiSandbox-Host ausgehen.
#   - Neue Administratorkonten oder Aenderungen an Trusted-Host-Beschraenkungen.

Netzwerk-/Proxy-seitige Suche:

# Sitzt die GUI hinter einem Reverse-Proxy oder einer WAF, Zugriffslogs nach
# Shell-Metazeichen in Request-Bodies oder Query-Strings durchsuchen.
grep -E "%3B|%7C|%26|%24%28|;|\\||\\$\\(" proxy-access.log | grep -i "fortisandbox\|/cgi\|/api"

# POSTs an Management-Endpunkte von ausserhalb bekannter Admin-Bereiche markieren.
grep -E "POST .*(vnc|admin|api)" proxy-access.log

IDS/IPS- und WAF-Signaturen für das FortiSandbox-Command-Injection-Muster ausrollen, sobald verfügbar, und veröffentlichte IoCs einspielen.
Bei jeder erfolgreichen Authentifizierung oder Befehlsausführung alarmieren, die einem Request mit Metazeichen folgt.

Langfristige Sicherheitsverbesserungen

Sicherheits-Appliances schnell patchen: FortiSandbox, Firewalls und Gateways mit demselben Critical-Patch-SLA behandeln wie jedes ins Internet exponierte System — sie sind Kronjuwelen-Infrastruktur.
Management nie ins Internet exponieren: Appliance-GUIs aus dem öffentlichen Internet heraushalten; über VPN, Bastions und Allow-Listen erreichen.
Die Security Fabric segmentieren: So vertrauenswürdige und vernetzte Appliances verdienen strenge Netzwerksegmentierung und dediziertes Monitoring.
Minimale Exposition erzwingen: optionale Management-Funktionen (etwa Remote-Konsolen-/VNC-Zugriff) deaktivieren oder einschränken, wo sie nicht benötigt werden.
Bei funktionalen Exploits von Kompromittierung ausgehen: Wenn öffentlicher Exploit-Code Ihrem Patch vorausgeht, patchen und jagen — gehen Sie nicht von einem sauberen Zustand aus.
Kontinuierlich inventarisieren: jede Appliance, ihre Firmware-Version und ihre Exposition kennen — man kann nicht patchen, was man nicht sieht.

🎯 Warum ist das kritisch?

Nicht authentifizierte Remote-Befehlsausführung: keine Anmeldedaten, keine Benutzerinteraktion — nur Netzwerkzugriff auf eine verwundbare Appliance.
Öffentlicher, funktionaler Exploit-Code: Fortinets eigene E:F-Bewertung und Drittberichte bedeuten, dass die Waffnung bereits im Gange ist.
Ein Sicherheitskontrollmechanismus wird zur Tür: Die Kompromittierung der Sandbox gewährt tiefen Zugriff und blendet zugleich die Malware-Erkennungs-Pipeline.
Vertrauenswürdiges, vernetztes Ziel: FortiSandbox ist in die Fortinet Security Fabric eingebunden und bietet breites Potenzial für laterale Bewegung.
Breite Verbreitung: On-premises-, Cloud- und PaaS-Varianten sind alle betroffen.
Teil eines Clusters: CVE-2026-25089 reiht sich neben weitere kürzlich offengelegte FortiSandbox-Fehler ein, was das Angreiferinteresse an der Plattform insgesamt erhöht.
Ein sauberer Patch existiert: Ein Upgrade behebt das Problem vollständig — es gibt keine Ausrede, eine verwundbare Appliance exponiert zu lassen.

🚀 Zeitleiste und Offenlegung

April 2026 — Frühere FortiSandbox-Fehler CVE-2026-39813 (Path Traversal / Authentifizierungsumgehung in der JRPC-API) und CVE-2026-39808 (nicht authentifizierte OS-Command-Injection) werden offengelegt und gepatcht.
9. Juni 2026 — Fortinet veröffentlicht das Advisory FG-IR-26-141 für CVE-2026-25089 und liefert gepatchte Builds (5.0.6, 4.4.9, Cloud/PaaS 5.0.6) aus.
16. Juni 2026 — Die Threat-Intelligence-Firma Defused meldet beobachtete Exploit-Versuche gegen das FortiSandbox-Schwachstellen-Cluster; einer der kursierenden Exploits wird als wahrscheinlich fehlerhaft eingeschätzt, und Fortinet hat eine Ausnutzung dieser spezifischen CVEs in freier Wildbahn nicht bestätigt.
Laufend — Öffentlicher Exploit-Code und ein kritisches, nicht authentifiziertes Primitiv machen opportunistisches Scanning exponierter FortiSandbox-Oberflächen wahrscheinlich.

🔗 Ressourcen und Referenzen

CVE: CVE-2026-25089
NVD: NVD — CVE-2026-25089
Fortinet-Advisory: FG-IR-26-141 — OS command injection in FortiSandbox
CWE: CWE-78: Improper Neutralization of Special Elements used in an OS Command
CISA-KEV-Katalog: Known Exploited Vulnerabilities

💼 SEKurity Unterstützt Sie

CVE-2026-25089 ist eine eindringliche Erinnerung daran, dass Ihre Sicherheitswerkzeuge Teil Ihrer Angriffsfläche sind — und keine Ausnahme davon. Die Appliance, die viele Organisationen gezielt einsetzen, um Angreifercode zu detonieren und zu analysieren, lieferte eine Management-Oberfläche aus, die angreifergelieferte Eingaben direkt an eine Shell weiterreicht und so eine routinemäßige Web-Funktion in nicht authentifizierte Remote-Befehlsausführung auf einem vertrauenswürdigen Knoten der Security Fabric verwandelt. Schlimmer noch: Ein Angreifer, der die Sandbox besitzt, kann ihr in aller Stille beibringen, seine eigene Malware zu ignorieren. Wir helfen Organisationen, die vergessenen, optionalen und Management-Plane-Dienste zu finden, die leise auf kritischen Appliances lauschen, zu validieren, dass ins Internet exponierte und Tier-0-Infrastruktur wirklich gepatcht und segmentiert ist, und unter Stress zu testen, ob ein Angreifer, der Ihren Sicherheits-Stack kompromittiert hat, erkannt würde — oder ob er einfach das Licht ausschalten würde. Unsere Infrastruktur- und Red-Team-Engagements kartieren genau diese hochvertrauten blinden Flecken, bevor jemand mit einem funktionierenden Exploit sie zuerst findet.

Unsere Leistungen

Penetration Testing: Webanwendungen, mobile Apps (Android & iOS), SAP-Systeme, Active Directory
Groß angelegte Angriffe: Perimeter-Tests, IT-Infrastruktur-Tests, Red-Team-Engagements
Security Awareness: Phishing-Kampagnen, Hacking-Demonstrationen

Handeln Sie jetzt — bevor es Angreifer tun.

Kontakt:

🌐 Website: www.sekurity.de

📧 Anfragen: www.sekurity.de/kontakt

📱 LinkedIn: SEKurity GmbH

Ihr SEKurity Team — Your Trusted Adversaries

Die Sicherheit Ihrer Sicherheitsinfrastruktur ist unser Antrieb.

InSEKurity of the Week (CW26/2026): Fortinet FortiSandbox Unauthenticated OS Command Injection (CVE-2026-25089)