Fortinet publie des correctifs de sécurité pour deux failles critiques qui touchent FortiSandbox et FortiAuthenticator. Ces vulnérabilités exposent les systèmes non patchés à l’exécution de commandes ou de code arbitraire par des attaquants.
La première faille, identifiée sous CVE-2026-44277, concerne la solution de gestion des identités et accès FortiAuthenticator. Fortinet corrige ce problème de contrôle d’accès inadéquat dans les versions 6.5.7, 6.6.9 et 8.0.3. Un attaquant non authentifié exécute du code ou des commandes non autorisées par des requêtes forgées.
FortiAuthenticator Cloud, service cloud géré par Fortinet et anciennement nommé FortiTrust Identity, échappe à cette vulnérabilité.
Fortinet traite aussi une faiblesse d’autorisation manquante, CVE-2026-26083. Elle frappe les systèmes FortiSandbox, FortiSandbox Cloud et l’interface web FortiSandbox PaaS. Un attaquant non authentifié déclenche une exécution de code à distance par des requêtes HTTP.
Les experts notent que Fortinet subit souvent des exploits dans des attaques de ransomwares ou d’espionnage numérique, y compris des zero-day. En février, l’entreprise a résolu CVE-2026-21643 dans FortiClient Enterprise Management Server. Une société de renseignement a signalé son exploitation active un mois plus tard.
Début avril, l’Agence de cybersécurité et de sécurité des infrastructures des États-Unis (CISA) exige des agences fédérales qu’elles protègent leurs instances FortiClient EMS contre CVE-2026-35616, une faille d’authentification contournée activement.
CISA recense 24 vulnérabilités Fortinet exploitées activement ces dernières années. Treize d’entre elles servent aussi aux attaques de ransomwares.