Seg\u00fan los avisos de autoridades nacionales y Fortinet, las vulnerabilidades afectan principalmente a:<\/p>\n\n\n\n Se han revelado nuevas vulnerabilidades cr\u00edticas en productos Fortinet, principalmente en FortiSandbox, destacando CVE-2026-39808<\/strong> y CVE-2026-39813<\/strong>, ambas con CVSS 9.8\u20139.1 (cr\u00edticas)<\/strong>, que pueden permitir ejecuci\u00f3n remota de c\u00f3digo (RCE), escalada de privilegios y bypass de autenticaci\u00f3n en entornos usados para analizar malware y archivos sospechosos. Dado que estos dispositivos suelen estar conectados a redes internas de alta sensibilidad, su compromiso puede convertirse en un punto de entrada privilegiado para los atacantes.<\/p>\n\n\n\n FortiSandbox es una soluci\u00f3n de seguridad avanzada que analiza de forma aislada archivos y tr\u00e1fico sospechoso para detectar malware y amenazas de d\u00eda cero antes de que alcancen la red corporativa. Se despliega como producto independiente (appliance f\u00edsico, m\u00e1quina virtual o servicio en la nube) y se integra con otros dispositivos Fortinet \u2014como FortiGate, FortiMail o FortiWeb\u2014 que le env\u00edan objetos a inspeccionar, por lo que la sandbox se administra y actualiza por separado dentro de la infraestructura de seguridad.<\/p>\n\n\n\n Detalle de las vulnerabilidades m\u00e1s cr\u00edticas:<\/p>\n\n\n\n Fortinet tambi\u00e9n ha publicado avisos complementarios donde describe otros fallos adicionales (incluyendo vulnerabilidades de RCE autenticada en FortiSandbox Cloud, como CVE-2026-25836<\/strong>, que permiten a un usuario con perfil super-admin ejecutar comandos OS mediante peticiones HTTP especialmente construidas)<\/p>\n\n\n\n Fortinet ha publicado actualizaciones de seguridad para FortiSandbox, FortiSandbox PaaS y FortiSandbox Cloud<\/strong>, que corrigen las vulnerabilidades de RCE, path traversal y command injection. Se recomienda:<\/p>\n\n\n\nProducto<\/td> Versiones afectadas (principales)<\/td><\/tr><\/thead> FortiSandbox<\/td> 4.4.0 \u2013 4.4.8 (CVE-2026-39808, 39813)<\/td><\/tr> FortiSandbox 5.0.x<\/td> 5.0.0 \u2013 5.0.5 (CVE-2026-39813)<\/td><\/tr> FortiSandbox PaaS<\/td> Hasta 4.4.8 (CVE-2026-39808)<\/td><\/tr> FortiSandbox Cloud<\/td> 5.0.4 (CVE-2026-25836 \u2013 RCE autenticada)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Descripci\u00f3n<\/h2>\n\n\n\n
\n
Vulnerabilidad de inyecci\u00f3n de comandos del sistema operativo (CWE-78) en FortiSandbox y FortiSandbox PaaS hasta la versi\u00f3n 4.4.8. Un atacante remoto puede enviar peticiones manipuladas a funciones espec\u00edficas del producto y conseguir que se ejecuten comandos arbitrarios con privilegios elevados en el sistema subyacente, lo que puede conducir a un control completo del dispositivo.<\/li>\n\n\n\n
Fallo de\u00a0path traversal<\/em>\u00a0en la API JRPC de FortiSandbox que permite a un atacante no autenticado eludir la autenticaci\u00f3n y acceder a rutas internas del sistema. En combinaci\u00f3n con otras funciones, este acceso puede aprovecharse para cargar o ejecutar c\u00f3digo malicioso, obteniendo RCE y potencial escalada de privilegios en versiones 4.4.0\u20134.4.8 y tambi\u00e9n 5.0.0\u20135.0.5.<\/li>\n<\/ul>\n\n\n\nSoluci\u00f3n:<\/h2>\n\n\n\n
\n
\n
\n