Duas vulnerabilidades críticas recentemente divulgadas no FortiSandbox, solução da Fortinet, acendem um alerta urgente para empresas que utilizam a tecnologia. As falhas permitem que hackers não autenticados executem comandos remotamente ou contornem mecanismos de autenticação — tudo isso por meio de simples requisições HTTP.

Apesar de ainda não haver evidências de exploração ativa, o risco é considerado elevado. Isso porque as vulnerabilidades já são públicas, não exigem credenciais e historicamente produtos da Fortinet são alvos frequentes de ataques em larga escala.

Cadeia de ataque: como as falhas podem ser exploradas

Os problemas identificados afetam diretamente o FortiSandbox, ferramenta utilizada para análise de ameaças e detecção de malware em ambientes corporativos.

CVE-2026-39808 — Execução remota de comandos (RCE)

A primeira vulnerabilidade é uma falha de injeção de comandos no sistema operacional:

• Permite que hackers enviem requisições HTTP maliciosas

• O sistema interpreta essas requisições como comandos legítimos

• Resultado: execução remota de código sem autenticação

Essa falha recebeu pontuação 9.1 (crítica) no padrão CVSS e afeta versões:

• 4.4.0 até 4.4.8

A correção está disponível a partir da versão 4.4.9.

CVE-2026-39813 — Bypass de autenticação via path traversal

A segunda vulnerabilidade explora um erro na API JRPC do FortiSandbox:

• Utiliza técnica de path traversal

• Permite manipular caminhos internos do sistema

• Resultado: bypass de autenticação e acesso indevido

Também classificada com CVSS 9.1, essa falha afeta:

• Versões 4.4.0 até 4.4.8

• Versões 5.0.0 até 5.0.5

A correção foi disponibilizada nas versões:

• 4.4.9+

• 5.0.6+

Exploração facilitada e risco iminente

Um fator que aumenta significativamente o risco é a disponibilização pública de ferramentas de exploração.

Pesquisadores já divulgaram scanners capazes de identificar sistemas vulneráveis, o que pode acelerar campanhas maliciosas nas próximas semanas. Esse tipo de cenário é comum: após a divulgação de uma falha crítica, o tempo entre o anúncio e a exploração ativa tende a ser cada vez menor.

Contexto: sequência de falhas críticas na Fortinet

Essas vulnerabilidades surgem poucos dias após outro incidente relevante envolvendo a Fortinet.

A falha CVE-2026-35616, que impacta o FortiClient EMS, já foi:

• Explorada ativamente desde pelo menos março

• Incluída no catálogo KEV da CISA

• Classificada como prioridade máxima para correção

A agência chegou a estabelecer um prazo de apenas quatro dias para que órgãos federais aplicassem o patch — um indicativo claro da gravidade.

Impacto para empresas

Ambientes que utilizam FortiSandbox podem estar expostos a riscos como:

• Execução remota de código (comprometimento total do sistema)

• Acesso não autorizado a recursos internos

• Movimentação lateral dentro da rede

• Uso da infraestrutura comprometida para ataques adicionais

Considerando que o FortiSandbox é frequentemente integrado a pipelines de segurança, SIEMs e sistemas de resposta a incidentes, uma exploração bem-sucedida pode comprometer toda a cadeia de defesa da organização.

Recomendações imediatas

Diante do cenário, a recomendação é clara:

• Atualizar imediatamente para versões corrigidas

• Verificar exposição externa do FortiSandbox

• Utilizar scanners disponíveis para identificar vulnerabilidades

• Monitorar logs e comportamentos suspeitos

• Aplicar princípios de segmentação e controle de acesso

Tendência: exploração rápida de vulnerabilidades públicas

O caso reforça uma tendência crescente em cibersegurança:

Hackers monitoram ativamente divulgações de CVEs e rapidamente desenvolvem exploits — especialmente quando não há necessidade de autenticação.

Produtos amplamente utilizados, como os da Fortinet, tornam-se alvos prioritários por oferecerem alto retorno em campanhas de ataque.