| タイトル | フォーティネットのFortiSandbox等の複数製品におけるOS コマンドインジェクションの脆弱性 |
|---|---|
| 概要 | Fortinet FortiSandboxのバージョン5.0.0から5.0.5、4.4.0から4.4.8、4.2の全バージョン、FortiSandbox Cloudのバージョン5.0.4から5.0.5、FortiSandbox PaaSのバージョン5.0.4から5.0.5において、OSコマンドインジェクションで使用される特殊な要素が適切に無効化されていない脆弱性が存在します。この脆弱性により、認証されていない攻撃者が特別に細工されたHTTPリクエストを介して不正なコマンドを実行できる可能性があります。 |
| 想定される影響 | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年6月9日0:00 |
| 登録日 | 2026年6月12日14:33 |
| 最終更新日 | 2026年6月12日14:33 |
| CVSS3.0 : 緊急 | |
| スコア | 9.8 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| フォーティネット |
| FortiSandbox 4.2.0 から 4.2.8 |
| FortiSandbox 4.4.0 以上 4.4.9 未満 |
| FortiSandbox 5.0.0 以上 5.0.6 未満 |
| FortiSandbox Cloud 5.0.4 以上 5.0.6 未満 |
| FortiSandbox PaaS 5.0.4 以上 5.0.6 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月12日] 掲載 |
2026年6月12日14:33 |
| 概要 | A improper neutralization of special elements used in an os command ('os command injection') vulnerability in Fortinet FortiSandbox 5.0.0 through 5.0.5, FortiSandbox 4.4.0 through 4.4.8, FortiSandbox 4.2 all versions, FortiSandbox Cloud 5.0.4 through 5.0.5, FortiSandbox PaaS 5.0.4 through 5.0.5 may allow an unauthenticated attacker to execute unauthorized commands via specifically crafted HTTP requests |
|---|---|
| 公表日 | 2026年6月10日1:16 |
| 登録日 | 2026年6月10日4:16 |
| 最終更新日 | 2026年6月10日1:16 |