Fortinetは2026年4月14日、FortiSandboxに関する2件のCritical脆弱性を公表しました。対象は CVE-2026-39813 と CVE-2026-39808 で、いずれも細工したHTTPリクエストを使って認証なしで悪用でき、CVSS v3スコアはともに9.1です。
CVE-2026-39813 は FortiSandbox の JRPC API にあるパストラバーサル起因の認証回避で、未認証の攻撃者が認証を回避し、権限昇格につなげられるおそれがあります。CVE-2026-39808 は API 経由のOSコマンドインジェクションで、未認証の攻撃者が任意のコードまたはコマンドを実行できる可能性があります。Fortinetは、現時点でこれら2件が実際に悪用されているとはしていません。
何が起きたか
今回の修正は、Fortinetが4月14日に公開した複数製品向けPSIRTの一部です。同日Fortinetは26件のアドバイザリで27件の脆弱性を公表しており、その中でもFortiSandboxの2件のCritical脆弱性が最も深刻な案件として扱われています。
Fortinetの一次情報では、CVE-2026-39813 は FortiSandbox JRPC API に存在する Path Traversal により、認証回避を引き起こす問題です
。影響は認証回避にとどまらず、権限昇格まで含まれます。CVE-2026-39808 は FortiSandbox API にある OS command injection で、細工したHTTPリクエストだけで不正なコードまたはコマンド実行に至る可能性があります。どちらも攻撃条件は未認証で、外部から到達できる環境では優先度を高く見るべき脆弱性です。
対象バージョン
CVE-2026-39813 の影響を受けるのは FortiSandbox 5.0系の 5.0.0 から 5.0.5 と、4.4系の 4.4.0 から 4.4.8 です。修正版は 5.0系が 5.0.6 以降、4.4系が 4.4.9 以降です。FortiSandbox 5.2系と4.2系は影響を受けません。
CVE-2026-39808 の影響を受けるのは FortiSandbox 4.4系の 4.4.0 から 4.4.8 で、修正版は 4.4.9 以降です。FortiSandbox 5.0系はこの問題の影響を受けず、FortiSandbox PaaS 5.0 も対応不要とされています。
原因
CVE-2026-39813 の原因としてFortinetが示しているのは、JRPC API における Path Traversal です。CWEはCWE-24で、APIが本来制限されるべきパスや処理境界を適切に扱えていなかったことが、認証回避の起点になっています。
CVE-2026-39808 の原因は、APIエンドポイントにおける OS command injection です。CWEはCWE-78で、外部から渡される入力をOSコマンドの文脈で適切に無害化できていなかったことが、任意コード実行の余地を生んでいます。
関連記事
【インタビュー】auじぶん銀行が挑んだ「振込×AI」の挑戦
【2026年】サイバー攻撃・情報漏洩の最新 事例
イラン革命防衛隊、Microsoft、Google、Amazonなど米国IT企業を合法的な標的と認定、物理的・サイバー的に破壊/攻撃を実施
米国、安全保障上の理由から海外製造 ルーターの新規販売を禁止-TP-Linkや日本への影響
イランのハーグ島とは-イラン原油輸出の心臓部が中東危機とホルムズ海峡封鎖リスクを左右する理由
エプスタインの情報漏洩と関連する日本人のまとめ-エプスタイン文書では松本 大氏や伊藤 穰一氏、林 千晶氏のアテンド記録も
日仏レアアース共同調達協定とは?脱中国依存を決定づける「Caremag」と日本経済への波及効果
北朝鮮系ハッカーがAxiosのnpmパッケージを汚染させサプライチェーン 攻撃を実行
AI 企業 パランティア(Palantir)とは 脅威と戦略は-その眼は英知の眼か破滅の眼か
