Privacy news: Nuovo allarme Fortinet: RCE senza autenticazione su FortiAuthenticator e FortiSandbox
Se nella tua azienda usi soluzioni Fortinet, oggi hai un motivo concreto per controllare subito gli aggiornamenti: sono state pubblicate due vulnerabilità che possono permettere a un attaccante di eseguire codice da remoto (RCE) senza autenticazione. Tradotto: non serve rubarti password o token. Può bastare costruire la richiesta HTTP “giusta” contro un sistema non patchato.
La prima falla è CVE-2026-44277 e riguarda FortiAuthenticator, spesso usato per gestione identità, accessi centralizzati e MFA. Il problema è un controllo accessi improprio: un attaccante remoto non autenticato potrebbe arrivare a eseguire codice sul server. Fortinet ha già rilasciato versioni corrette: 6.5.7, 6.6.9 e 8.0.3. Nota importante: FortiAuthenticator Cloud (hosted da Fortinet) non risulta impattato.
La seconda è CVE-2026-26083 e colpisce FortiSandbox, cioè lo strumento che dovrebbe aiutarti a riconoscere malware e minacce avanzate. Qui il difetto è una mancata autorizzazione nella Web UI (incluse versioni Cloud e PaaS): anche in questo caso, richieste HTTP non autenticate possono portare a RCE.
Fortinet dice che al momento non ci sono evidenze di sfruttamento attivo, ma l’esperienza insegna che la finestra tra patch e attacchi reali può essere di giorni, a volte ore. Quindi cosa fai adesso? Verifichi le versioni, aggiorni dove possibile, limiti l’accesso alla Web UI (solo IP autorizzati) e controlli i log per richieste anomale/non autenticate.
Verifica subito che la tua azienda rispetti la normativa GDPR per evitare le pesanti sanzioni previste,