製品・ソフトウェアに関する情報

JVN脆弱性詳細

フォーティネットのFortiSandbox等の複数製品における認証の欠如に関する脆弱性

タイトル	フォーティネットのFortiSandbox等の複数製品における認証の欠如に関する脆弱性
概要	Fortinet FortiSandbox バージョン5.0.0から5.0.1、FortiSandbox 4.4.0から4.4.8、FortiSandbox Cloud 5.0.2から5.0.5、FortiSandbox PaaS 23.4の全バージョン、FortiSandbox PaaS 23.3の全バージョン、FortiSandbox PaaS 23.1の全バージョン、FortiSandbox PaaS 22.2の全バージョン、FortiSandbox PaaS 22.1の全バージョン、FortiSandbox PaaS 21.4の全バージョン、FortiSandbox PaaS 21.3の全バージョン、FortiSandbox PaaS 5.0.0から5.0.1、FortiSandbox PaaS 4.4.5から4.4.8において、認証の欠如に起因する脆弱性が存在し、認証されていない攻撃者がHTTPリクエストを介して許可されていないコードまたはコマンドを実行できる可能性がある脆弱性です。
想定される影響	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年5月12日0:00
登録日	2026年5月18日11:23
最終更新日	2026年5月18日11:23

CVSS3.0 : 緊急
スコア	9.8
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

影響を受けるシステム

フォーティネット

FortiSandbox 4.4.0 以上 4.4.9 未満

FortiSandbox 5.0.0 以上 5.0.2 未満

FortiSandbox Cloud 23.1.4245 から 23.4.4374

FortiSandbox Cloud 24.1.4436

FortiSandbox Cloud 5.0.2 以上 5.0.6 未満

FortiSandbox PaaS 21.3.4055 から 23.4.4374

FortiSandbox PaaS 4.4.5 以上 4.4.9 未満

FortiSandbox PaaS 5.0.0 以上 5.0.2 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-26083	https://www.cve.org/CVERecord?id=CVE-2026-26083
National Vulnerability Database (NVD)
2	CVE-2026-26083	https://nvd.nist.gov/vuln/detail/CVE-2026-26083

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-862	https://cwe.mitre.org/data/definitions/862.html

ベンダー情報

No	名前	URL
FortiGuard PSIRT Advisory
1	PSIRT \| FortiGuard Labs	https://fortiguard.fortinet.com/psirt/FG-IR-26-136

変更履歴

No	変更内容	変更日
1	[2026年05月18日] 掲載	2026年5月18日11:23

NVD脆弱性情報

CVE-2026-26083

概要	A missing authorization vulnerability in Fortinet FortiSandbox 5.0.0 through 5.0.1, FortiSandbox 4.4.0 through 4.4.8, FortiSandbox Cloud 5.0.2 through 5.0.5, FortiSandbox PaaS 23.4 all versions, FortiSandbox PaaS 23.3 all versions, FortiSandbox PaaS 23.1 all versions, FortiSandbox PaaS 22.2 all versions, FortiSandbox PaaS 22.1 all versions, FortiSandbox PaaS 21.4 all versions, FortiSandbox PaaS 21.3 all versions, FortiSandbox PaaS 5.0.0 through 5.0.1, FortiSandbox PaaS 4.4.5 through 4.4.8 may allow an unauthenticated attacker to execute unauthorized code or commands via HTTP requests.
公表日	2026年5月13日3:16
登録日	2026年5月13日4:13
最終更新日	2026年5月15日22:42

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:fortinet:fortisandbox::::::::	4.4.0			4.4.9
cpe:2.3:a:fortinet:fortisandbox::::::::	5.0.0			5.0.2
cpe:2.3:a:fortinet:fortisandbox_cloud::::::::	5.0.2			5.0.6
cpe:2.3:a:fortinet:fortisandbox_cloud::::::::	23.1.4245	23.4.4374
cpe:2.3:a:fortinet:fortisandbox_cloud:24.1.4436:::::::*
cpe:2.3:a:fortinet:fortisandbox_paas::::::::	4.4.5			4.4.9
cpe:2.3:a:fortinet:fortisandbox_paas::::::::	5.0.0			5.0.2
cpe:2.3:a:fortinet:fortisandbox_paas::::::::	21.3.4055	23.4.4374