-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheid verholpen in Fortinet FortiSandbox Advisory ID : NCSC-2026-0189 Versie : 1.00 Kans : medium CVE ID : CVE-2026-25089 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') Uitgiftedatum : 20260611 Toepassing : Fortinet FortiSandbox Fortinet FortiSandbox Cloud Fortinet FortiSandbox PaaS Versie(s) : Platform(s) : Beschrijving Fortinet heeft een kwetsbaarheid verholpen in FortiSandbox versies 4.2 tot en met 5.0.5, inclusief FortiSandbox Cloud en FortiSandbox PaaS. De kwetsbaarheid betreft een OS command injection in de webinterface van FortiSandbox. Hierdoor kunnen niet-geauthenticeerde aanvallers willekeurige OS-commando's uitvoeren door speciaal vervaardigde HTTP- verzoeken te sturen. Deze kwetsbaarheid treft meerdere implementatiemodellen van FortiSandbox, waaronder on-premises, cloud en platform-as-a-service varianten. De kwetsbaarheid maakt ongeautoriseerde command execution mogelijk zonder dat authenticatie vereist is. De webinterface is in beginsel niet ontworpen om toegankelijk te zijn voor het brede publiek en het is goed gebruik een dergelijke interface af te steunen in een separate beheeromgeving. Mogelijke oplossingen Fortinet heeft updates uitgebracht om de kwetsbaarheid te verhelpen. Zie bijgevoegde referenties voor meer informatie. Referenties: Reference https://fortiguard.fortinet.com/psirt/FG-IR-26-141 Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- iQGzBAEBCgAdFiEEGSwziqblmmRNtImqgupWoL0ZhGEFAmoqbMgACgkQgupWoL0Z hGGWjQv+IQP7joxaVxMaPsf0laTa47HLCA85/uOW2nvbfL2VbJja1iP5o8N/gVeg ApX+wdmdU9E+2f5e32/m/fXiNvtQVg5ZVbUNpBE5juOd2faK4IprUDKFRyk5yIR1 kFZfojQJzGS580Mjm/Aa8swQVPMZDp4G1j9xGL9sQrbCDz8koP6xNfYBlNiwhkvQ lQxtWw0dkE3aQGb22JwXVov5d/g5/sEyUJoPnJ47NKzMGysJpu/yKQmpgNG32O/f 6hcWs/J5Pk4dVsA2DAnvZSDsIZ6TlwWXDcxNGt0lidGlhlp1rviJVdpRoHkBtKH9 TjiC7n5u13NiMm8NDOr5B7oRiTOOh99SdKrClwZDjITZNV6XjhxX1bunTW0WoBqk An5l488zhzMt+JRy9RRT9GToficWah/5Gj1gfgeA3ajjpjStWG3C8o5tCvF+3Ceo Fn734+Lx6wWKl1ZX3ot+oYwz3Hgx/rmPHK/SfQxtu0KLSCNN1VM9/jWm3PmC2dpb sq/hOipB =f/tS -----END PGP SIGNATURE-----