// HEISE ONLINE — CYBERSECURITY
FortiSandbox: Angriffe auf kritische Schwachstellen beobachtet
Schwachstellen in FortiSandbox sind derzeit Ziel von Angriffen im Internet. Patches zum Absichern stehen seit April bereit.
This article is also available in
English.
It was translated with technical assistance and editorially reviewed before publication.
Schwachstellen in den IT-Sicherheitsappliances FortiSandbox von Fortinet dienen Angreifern aus dem Netz derzeit als Angriffsziel. Aktualisierungen, um die Sicherheitslücken zu schließen, stehen schon etwas länger bereit.
Auf X meldet DefusedCyber die beobachteten Angriffe. Gleich drei Schwachstellen in FortiSandbox werden demnach attackiert. Die erste Lücke ermöglicht bösartigen Akteuren, an einer Path-Traversal-Schwachstelle in der JRPC-API von FortiSandbox anzusetzen, um mit sorgsam präparierten HTTP-Anfragen die Authentifizierung zu umgehen (CVE-2026-39813, CVSS 9.1, Risiko „kritisch“). Bereits Mitte April hat Fortinet FortiSandbox 4.4.9 und 5.0.6 veröffentlicht, die das ausbessern.
Ebenfalls unter Beschuss steht eine unzureichende Filterung von Elementen, die in einem Befehl ans Betriebssystem von FortiSandbox verwendet werden, die Angreifern ohne Authentifizierung das Ausführen von nicht autorisiertem Code oder Befehlen mittels manipulierter HTTP-Anfragen ermöglichen (CVE-2026-39808, CVSS 9.1, Risiko „kritisch“). DefusedCyber sieht auch Angriffe auf eine jüngere Sicherheitslücke, die das unbefugte Einschleusen von Befehlen ohne vorherige Authentifizierung mittels manipulierter HTTP-Anfragen ermöglichen, die ans Betriebssystem durchgereicht und dort ausgeführt werden (CVE-2026-25089, CVSS 9.1, Risiko „kritisch“). Die Schwachstelle hat Fortinet in der vergangenen Woche gemeldet, die Versionen mit den Fehlerkorrekturen sind jedoch die gleichen wie aus dem April.
DefusedCyber bleibt sehr schmallippig und erwähnt lediglich, dass die IT-Forscher nach eigenen Angaben seit dem 14. Juni Angriffe auf diese Schwachstellen beobachten. Ein Screenshot zeigt eine Anfrage auf einen jsonrpc-Endpunkt. Die Fortinet-Advisories bestätigen die Angriffe derzeit noch nicht, sie weisen zum Meldungszeitpunkt „Known Exploited: No“ aus.
Zu den Angriffen auf die jüngere Schwachstelle CVE-2026-25089 schreiben die Autoren noch kurz, dass der Exploit mutmaßlich mittels Vibe Coding entstanden ist, also mit KI-Unterstützung. Er sei deshalb wahrscheinlich fehlerhaft. Einen funktionierenden Exploit für die Lücke hat DefusedCyber demzufolge noch nicht gesehen, es sei noch keiner veröffentlicht worden.
Ob Sicherheitslücken, Viren oder Trojaner – alle sicherheitsrelevanten Meldungen gibts bei heise security
Ausführliche Informationen zum Versandverfahren und zu Ihren
Widerrufsmöglichkeiten erhalten Sie in unserer
Datenschutzerklärung.
Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.