答案已發布28 來源
Fortinet FortiSandbox遭攻擊:三個9.1分漏洞正被利用,其中一個係「Vibecoded」AI生成漏洞
三個未經授權即可遠端執行任意程式碼嘅FortiSandbox漏洞(CVE 2026 39813、CVE 2026 39808、CVE 2026 25089)正遭受攻擊,三個漏洞CVSS評分均高達9.1分 [8][17]。 針對CVE 2026 25089嘅攻擊代碼被形容為「vibecoded」——好可能係AI生成而且有缺陷,呢個真實案例展示AI點樣降低攻擊門檻,同時帶嚟嘈雜同唔一致嘅攻擊手法 [14]。
198K0
AI 提示
openai.comCreate a landscape editorial hero image for this Studio Global article: What are the three critical Fortinet FortiSandbox vulnerabilities being actively exploited as of mid-June 2026, what are their CVSS scores a. Article summary: Here is the full picture based on the latest reporting as of mid-June 2026.. Topic tags: general, government, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "Fortinet, Ivanti, and SAP have released security updates to address multiple critical security vulnerabilities that could result in arbitrary code execution and information disclos" source context "Ivanti, Fortinet, and SAP Release Patches for Multiple Critical ..." Reference image 2: visual subject "Photo by THECYBERTHRONE on April 16, 2026. May be an image of text that says 'FORTINET FortiSandbox CRITICAL VULNERABILITY ADVISORY !'. Fortinet
威脅情報公司Defused喺2026年6月16日報告,Fortinet嘅FortiSandbox惡意軟件分析平台有三個嚴重漏洞正喺24小時內被積極利用 。呢啲漏洞容許攻擊者喺無需身份驗證嘅情況下,遠端執行任意程式碼同繞過身份驗證,而好多下游嘅Fortinet安全產品都依賴FortiSandbox嚟判定惡意軟件。令今次威脅更添變數嘅係,其中一個漏洞嘅攻擊代碼被懷疑係由AI生成,既展示咗武器化攻擊嘅驚人速度,亦暴露咗機器編寫攻擊代碼嘅當前局限。
三個正被利用嘅嚴重漏洞
三個漏洞嘅CVSS評分都係9.1分,屬於需要立即處理嘅嚴重級別 。
CVE-2026-39813:JRPC API嘅「目錄遍歷」漏洞
- 類型: 路徑遍歷(Path Traversal)
- 攻擊方式: 未經身份驗證嘅攻擊者可以向FortiSandbox嘅JRPC API發送特製HTTP請求繞過身份驗證
。
- 受影響產品: FortiSandbox 5.0.0至5.0.5版本,以及4.4.0至4.4.8版本
。
- 狀況: 喺6月16日報告之前,呢個漏洞從未有被利用嘅紀錄
。
CVE-2026-39808:作業系統命令注入漏洞
- 類型: OS命令注入(OS Command Injection)
- 攻擊方式: 未經身份驗證嘅攻擊者可以透過發送特製HTTP請求執行未經授權嘅程式碼或指令
。
- 受影響產品: FortiSandbox 4.4.0至4.4.8版本,Fortinet較早前嘅安全公告已經提供咗修補
。
CVE-2026-25089:Web UI嘅作業系統命令注入漏洞
- 類型: OS命令注入(CWE-78)
- 攻擊方式: 漏洞存在於Web UI嘅「start VNC」功能,佢會將未經處理嘅JSON輸入直接傳遞俾作業系統執行。未經身份驗證嘅遠端攻擊者可以透過特製HTTP請求執行任意指令
。
- 受影響版本:
- FortiSandbox 5.0.0至5.0.5
- FortiSandbox 4.4.0至4.4.8
- FortiSandbox 4.2(所有版本)
- FortiSandbox Cloud 5.0.4至5.0.5
- FortiSandbox PaaS 5.0.4至5.0.5
- 修補: Fortinet喺2026年6月9日發布咗安全公告(FG-IR-26-141)同修補程式。升級至FortiSandbox 5.0.6或更高版本、FortiSandbox Cloud 5.0.6或更高版本、以及FortiSandbox PaaS 5.0.6或更高版本就可以解決問題
。
關於CVSS評分嘅備註: 雖然有少數早期資料最初將CVE-2026-39808同CVE-2026-39813列為CVSS 9.8分 ,但NVD、Defused、BleepingComputer同The Hacker News喺6月中旬嘅權威報告都一致確認三個CVE嘅評分係9.1分
。安全團隊應該使用9.1分嚟配合當前嘅威脅情報。
CVE-2026-25089揭示AI生成攻擊代碼嘅情況
Defused報告指出,針對CVE-2026-25089嘅攻擊代碼似乎係**「vibecoded」**——呢個術語表示程式碼好可能係AI生成或者倉促拼湊出嚟,缺少專業人士手寫攻擊代碼嗰種精細度同可靠性 。
呢個觀察為我哋提供咗一個難得嘅窗口,了解AI點樣改變漏洞利用嘅成本效益:
- 降低攻擊門檻: AI模型可以快速為OS命令注入呢類定義清晰嘅漏洞,生成能夠運作嘅攻擊代碼,令技術較低嘅攻擊者都可以嘗試攻擊啱啱發布修補程式嘅漏洞。雖然CVE-2026-25089未有確認嘅可靠公開漏洞利用程式,但攻擊喺修補程式發布後幾日內就開始出現
。
- 執行錯誤同唔一致: 觀察到嘅攻擊鏈使用標準瀏覽器偽裝(User-Agent spoofing)同基本HTTP請求,但當中有用嘅攻擊編碼被評估為「可能存在缺陷,程式碼執行結果唔一致」
。呢個同AI生成代碼嘅普遍現實情況吻合:語法通常正確,但邏輯脆弱,尤其對於需要精確協議級別操作嘅漏洞。
- 攻擊更嘈雜、更易偵測: 有缺陷嘅漏洞利用程式會比精準嘅人手編寫工具產生更多網絡雜音同錯誤狀態。對防守方嚟講,意味住呢類攻擊可能透過行為分析同異常偵測更容易被發現,即使佢哋仍然夠危險,足以成功攻擊未修補嘅系統
。
- 好可能係未來趨勢: CVE-2026-25089係一個早期案例。大型語言模型嘅普及,已經縮短咗由修補程式發布到首次攻擊嘗試之間嘅時間。雖然今日嘅效果唔穩定,但趨勢指向不久將來會出現更強大嘅AI輔助漏洞開發。
安全團隊應該即刻做啲咩
呢三個FortiSandbox漏洞都係無需身份驗證、低複雜度,而且唔需要用戶互動——令佢哋成為自動掃描同大規模攻擊嘅理想目標 。FortiSandbox嘅情況特別敏感,因為其他Fortinet產品(包括防火牆同端點偵測系統)可能會依賴佢嘅惡意軟件判定結果嚟觸發自動封鎖決定
。
- 立即安裝修補程式: 根據Fortinet針對CVE-2026-25089發布嘅安全公告FG-IR-26-141,升級至指定嘅修復版本,並確認CVE-2026-39813同CVE-2026-39808嘅修補程式(2026年4月發布)已經套用
。
- 隔離管理介面: 限制嚟自唔可信網絡對FortiSandbox Web UI同JRPC API嘅存取。呢啲介面唔應該暴露喺公共互聯網上
。
- 搜尋入侵指標(IoCs): 留意發送俾FortiSandbox Web UI嘅HTTP請求,當中有冇異常構造嘅JSON內容,並且監察傳送到設備嘅流量入面,有冇標準瀏覽器嘅User-Agent字串
。
- 假設下游會受影響: 如果你嘅FortiGate、FortiAnalyzer或其他Fortinet產品有同FortiSandbox整合,請確認佢哋正接收緊真實嘅威脅判定結果,而且冇出現未經授權嘅配置改動。
截至2026年6月16日,未有確認客戶受到影響,攻擊亦未歸因於特定威脅組織。但由修補程式發布到喺現實世界被積極利用之間嘅短暫窗口,正正強調咗企業必須將呢幾個9.1分漏洞視為最優先處理嘅事故 。
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
人們還問
「Fortinet FortiSandbox遭攻擊:三個9.1分漏洞正被利用,其中一個係「Vibecoded」AI生成漏洞」的簡短答案是什麼?
三個未經授權即可遠端執行任意程式碼嘅FortiSandbox漏洞(CVE 2026 39813、CVE 2026 39808、CVE 2026 25089)正遭受攻擊,三個漏洞CVSS評分均高達9.1分 [8][17]。
首先要驗證的關鍵點是什麼?
三個未經授權即可遠端執行任意程式碼嘅FortiSandbox漏洞(CVE 2026 39813、CVE 2026 39808、CVE 2026 25089)正遭受攻擊,三個漏洞CVSS評分均高達9.1分 [8][17]。 針對CVE 2026 25089嘅攻擊代碼被形容為「vibecoded」——好可能係AI生成而且有缺陷,呢個真實案例展示AI點樣降低攻擊門檻,同時帶嚟嘈雜同唔一致嘅攻擊手法 [14]。
接下來在實務上我該做什麼?
受影響版本涵蓋地端同雲端版FortiSandbox,呢個平台係其他Fortinet安全產品(如防火牆)用嚟判斷惡意威脅嘅關鍵系統。
來源
- thehackernews.comAttackers Exploit Three Fortinet FortiSandbox Flaws, One ...
- bleepingcomputer.comCritical Fortinet FortiSandbox flaws now exploited in attacks
- innovationnetworkdesign.comCRITICAL: Three FortiSandbox Flaws Under Active Explo…
- cisecurity.orgMultiple Vulnerabilities in Fortinet Products Could Allow ...
- tenable.comCVE-2026-39813 | Tenable®
- x.comCVE-2026-39813 (no previous recorded exploitation ...
- app.opencve.ioVulnerabilities (Fortinet)
- nvd.nist.govCVE-2026-25089 Detail - NVD
- cyberveille.esante.gouv.frFortinet - CVE-2026-25089 | Portail du CERT Santé
- cyberpress.orgFortinet FortiSandbox Flaw Enables Unauthorized ...
- thehackernews.comIvanti, Fortinet, and SAP Release Patches for Multiple Critical ...
- cve.circl.luFKIE_CVE-2026-25089 - Vulnerability-Lookup
- preferreddata.comFortiSandbox CVE-2026-25089 RCE: NC SMB Patch Plan ...
- greenbone.netFortinet RCE vulnerabilities - Critical flaws in FortiSandbox
- securityweek.comCritical Vulnerabilities Patched in Fortinet, Ivanti Products
- cyberpress.orgCritical Fortinet FortiSandbox Vulnerabilities Exploited in the Wild
- helpnetsecurity.comAttackers are exploiting FortiSandbox vulnerabilities - Help Net ...
- cybersecuritydive.comCritical vulnerabilities in Fortinet FortiSandbox are under exploitation
- csa.gov.sgCritical Vulnerability in Fortinet FortiSandbox
- sentinelone.comCVE-2026-25089: Fortinet FortiSandbox RCE Vulnerability
- securityarsenal.comCVE-2026-25089: FortiSandbox Command Injection - Security Arsenal
- tenable.comCVE-2026-25089 | Tenable®
- cve.toolsCVE-2026-25089 - Vulnerability Analysis
- socdefenders.aiAttackers are exploiting FortiSandbox vulnerabilities | SOC Defenders
- lis.mcut.edu.tw【Vulnerability Alert】Fortinet FortiSandbox, FortiSandbox Cloud ...
- 48secure.comOS Command Injection in Fortinet FortiSandbox (CVE-2026-25089)
- cyber.gc.caFortinet security advisory (AV26-351)
- sentinelone.comCVE-2026-39812: Fortinet FortiSandbox XSS Vulnerability
Loading comments...
Comments
0 comments