Fortinet hat zwei kritische, nicht authentifizierte RCE-Schwachstellen offengelegt, von denen FortiSandbox und weitere Produkte betroffen sind

Am 14. und 15. April hat Fortinet 27 neue Schwachstellen offengelegt, die eine breite Palette seiner Produkte betreffen. Die schwerwiegendsten der neuen Sicherheitslücken, CVE-2026-39808 (CVSS 9.8) und CVE-2026-39813 (CVSS 9.8) ermöglichen nicht authentifizierte Remote-Code-Ausführung (RCE) auf dem FortiSandbox Dienst. FortiSandbox ist Fortinets Remote-Sandboxing- und Malware-Analysedienst, der als On-Premises-Hardware-Appliances, virtuelle Maschinen (VMs) und gehostete Cloud-Dienste bereitgestellt wird. Zusammen haben diese beiden kritischen CVEs weltweit mehrere nationale CERT-Advisories ausgelöst [1][2][3][4][5][6][7][8][9]. Ein öffentlicher Proof-of-Concept (PoC) für CVE-2026-39808 ist frei verfügbar, was das Risiko erhöht.

Eine CVE mittlerer Schwere aus der Gruppe, CVE-2025-61624 (CVSS 6.0), wurde von Fortinet als aktiv ausgenutzt gemeldet, ist jedoch nicht in CISAs Liste der bekannten ausgenutzten Schwachstellen (KEV) aufgeführt. Details zu den Angriffskampagnen oder ein öffentlicher PoC sind nicht verfügbar.

Weitere von der aktuellen Offenlegung betroffene Fortinet-Produkte sind: FortiOS, FortiWeb, FortiClient EMS, FortiDDoS-F, FortiSOAR, FortiManager, FortiSwitch Manager, FortiProxy, FortiPAM, FortiAnalyzer, FortiNDR und FortiNAC-F. Bereits Anfang April 2026 wurden zwei weitere CVEs, CVE-2026-35616 and CVE-2026-21643, die FortiClient EMS betreffen, bekannt gegeben und unmittelbar als aktiv ausgenutzt eingestuft.

Greenbones OPENVAS ENTERPRISE FEED umfasst Erkennungsabdeckung für alle in diesem Bericht beschriebenen neuen Fortinet-Schwachstellen und weitere. Unser ENTERPRISE FEED bietet darüber hinaus eine eigene Familie von Tests für Fortinet-Schwachstellen, die Verteidigern hilft, aktiv sich entwickelnde Bedrohungen einzudämmen.

 

Risikobewertung der neuen Fortinet-CVEs

Am 14. und 15. April hat Fortinet 27 neue Schwachstellen offengelegt, darunter zwei kritische Sicherheitslücken, die FortiSandbox betreffen. Unter den neuen CVEs sind FortiOS, FortiWeb, FortiClient EMS, FortiDDoS-F, FortiSOAR, FortiManager, FortiSwitch Manager, FortiProxy, FortiPAM, FortiAnalyzer, FortiNDR und FortiNAC-F betroffen.

Die beiden kritischen FortiSandbox-Schwachstellen, CVE-2026-39808 (CVSS 9.8) und CVE-2026-39813 (CVSS 9.8), können ohne Authentifizierung für RCE ausgenutzt werden. Zusammen haben diese beiden kritischen CVEs weltweit mehrere nationale CERT-Advisories ausgelöst [1][2][3][4][5][6][7][8][9] und ein öffentlicher Proof-of-Concept (PoC) für CVE-2026-39808 ist öffentlich verfügbar, was das Risiko erhöht.

Fortinet meldete darüber hinaus die aktive Ausnutzung von CVE-2025-61624 (CVSS 6.0). Da CVE-2025-61624 zur Ausnutzung hohe lokale Berechtigungen erfordert, deutet die aktive Ausnutzung darauf hin, dass Angreifer entweder Zugang zu gestohlenen Anmeldedaten erlangt, andere Software-Schwachstellen ausgenutzt haben, um hohe Zugriffsrechte zu erlangen, oder Insider innerhalb der betroffenen Organisation sind.

Die wichtigsten CVEs aus der kürzlich veröffentlichten Gruppe sind:

• CVE-2026-39808 (CVSS 9.8) betrifft FortiSandbox 4.4.x: Eine unsachgemäße Neutralisierung von Sonderzeichen [CWE-78] ermöglicht einem nicht authentifizierten Angreifer die Ausführung nicht autorisierter Befehle oder Schadcode über speziell präparierte HTTP-Anfragen. Nur FortiSandbox 4.4.0 bis 4.4.8 sind betroffen; Nutzer sollten auf 4.4.9 oder höher aktualisieren. Ein öffentlicher Proof-of-Concept (PoC) Exploit ist verfügbar, was das Risiko erhöht. Der OPENVAS ENTERPRISE FEED enthält eine Remote-Banner-Versionsprüfung für CVE-2026-39808 [1].
• CVE-2026-39813 (CVSS 9.8) betrifft FortiSandbox 5.0.x und 4.x: Eine Path-Traversal-Schwachstelle [CWE-24] ermöglicht einem nicht autorisierten Angreifer die Eskalation von Berechtigungen über speziell präparierte HTTP-Anfragen. FortiSandbox 5.0.0 bis 5.0.5 sowie 4.4.0 bis 4.4.8 sind betroffen. Der OPENVAS ENTERPRISE FEED enthält eine Remote-Banner-Versionsprüfung für CVE-2026-39813 [1].
• CVE-2025-61624 (CVSS 6.0) betrifft FortiOS, FortiPAM, FortiProxy und FortiSwitch Manager: Eine Path-Traversal-Schwachstelle [CWE-22] im Befehlszeileninterpreter der betroffenen Geräte ermöglicht einem privilegierten Angreifer das Schreiben oder Löschen beliebiger Dateien über speziell präparierte Argumente vorhandener Befehle. Da CVE-2025-61624 zur Ausnutzung hohe lokale Berechtigungen erfordert, deutet die aktive Ausnutzung darauf hin, dass Angreifer entweder Zugang zu gestohlenen Anmeldedaten erlangt, andere Software-Schwachstellen ausgenutzt haben, um hohe Zugriffsrechte zu erlangen, oder Insider innerhalb der betroffenen Organisation sind. Fortinets FortiOS, FortiPAM, FortiProxy und FortiSwitch Manager sind betroffen. Der OPENVAS ENTERPRISE FEED enthält eine lokale Versionsprüfung für FortiOS [1] sowie eine Remote-Banner-Prüfung für FortiProxy [2] hinsichtlich der Schwachstelle CVE-2025-61624.
• CVE-2026-39815 (CVSS 8.8) betrifft FortiDDoS-F 7.2.1 bis 7.2.2: Eine SQL-Injection-Schwachstelle [CWE-89] ermöglicht einem authentifizierten Remote-Angreifer die Ausführung beliebiger SQL-Abfragen in der Datenbank über speziell präparierte HTTP-Anfragen. Nur FortiDDoS-F 7.2.1 bis 7.2.2 sind betroffen. Nutzer sollten auf 7.2.3 oder höher aktualisieren. Der OPENVAS ENTERPRISE FEED enthält eine Remote-Banner-Versionsprüfung für CVE-2026-39815 [1].
• CVE-2026-40688 (CVSS 7.2) betrifft FortiWeb 8.0, 7.6 und 7.4: Eine Out-of-Bounds-Write-Schwachstelle [CWE-787] ermöglicht einem authentifizierten Remote-Angreifer die Ausführung beliebigen Codes oder beliebiger Befehle über präparierte HTTP-Anfragen. Fortinet FortiWeb 8.0.0 bis 8.0.3, FortiWeb 7.6.0 bis 7.6.6 sowie FortiWeb 7.4.0 bis 7.4.11 sind betroffen. Der OPENVAS ENTERPRISE FEED enthält eine Remote-Banner-Versionsprüfung für CVE-2026-40688 [1].
• CVE-2026-39809 (CVSS 6.7) betrifft FortiClient EMS 7.4, 7.2 und 7.0: Eine SQL-Injection-Schwachstelle [CWE-89] ermöglicht authentifizierten Remote-Angreifern die Ausführung nicht autorisierter Befehle oder Schadcode über speziell präparierte HTTP-Anfragen. Fortinet FortiClient EMS 7.4.0 bis 7.4.5, FortiClient EMS 7.2.0 bis 7.2.12 sowie alle FortiClient EMS 7.0-Versionen sind betroffen. Der OPENVAS ENTERPRISE FEED enthält eine Remote-Banner-Versionsprüfung für CVE-2026-39809 [1].

Fortinet stellt ein Upgrade-Pfad-Tool bereit, mit dem Nutzer den empfohlenen Upgrade-Pfad für ihr Produkt ermitteln können. Eine vollständige Liste der CVEs für Fortinet-Produkte findet sich auf der PSIRT-Advisories-Seite des Anbieters.

Zusammenfassung

Fortinets Offenlegungen vom April 2026 schaffen ein breites Angriffspotenzial über mehrere Produktlinien hinweg. Die drängendsten Risiken konzentrieren sich auf zwei kritische FortiSandbox-Schwachstellen, die nicht authentifizierte RCE ermöglichen. Eine weitere Schwachstelle in FortiPAM, FortiProxy und FortiSwitch Manager wurde als aktiv ausgenutzt gemeldet. Greenbones OPENVAS ENTERPRISE FEED deckt alle in diesem Bericht genannten neu offengelegten Fortinet-Schwachstellen und weitere ab und hilft Verteidigern dabei, betroffene Systeme zu identifizieren und Abhilfemaßnahmen einzuleiten.