Vulnerabilidad · Publicado 14/04/2026 · Actualizado 30/05/2026
Fortinet publica alerta crítica sobre una vulnerabilidad de inyección de comandos del sistema operativo en Fortisandbox que permite a atacantes ejecutar comandos arbitrarios a través de un endpoint API sin autenticación. Esta vulnerabilidad afecta directamente a empresas en México y LATAM que utilizan Fortisandbox para análisis de malware y sandboxing, exponiendo infraestructura crítica de seguridad perimetral. El acceso no autenticado al endpoint API representa un riesgo inmediato para entornos de producción conectados a internet.
CVSSv3 Score: 9.1 An Improper Neutralization of Special Elements used in an OS Command ('OS command injection') vulnerability [CWE-78] in FortiSandbox may allow an unauthenticated attacker to execute unauthorized code or commands via crafted HTTP requests. Revised on 2026-04-14 00:00:00
Advisory publicado por Fortinet Product Security Incident Response Team (PSIRT).