FortiSandbox 高危漏洞正在被利用:无需登录,也可能执行系统命令
韩启明|OC 政策与安全编辑
韩启明|OC 政策与安全编辑
安全公司 RECON 在 CVE-2026-25089 技术分析 中披露,Fortinet FortiSandbox 存在一个无需认证即可触发的操作系统命令注入漏洞。Fortinet 已发布安全公告和修复版本,相关漏洞也被报告存在现实利用活动。
一句话结论: 这是应当按紧急事件处理的边界设备漏洞:先确认是否暴露、立即升级,再检查历史访问痕迹,不要只把补丁排进下个月维护窗口。
FortiSandbox 的用途,是接收可疑文件并在隔离环境里分析它们。也正因为它处在安全体系里,很多企业会默认它比普通业务系统更可信。但安全产品同样是联网软件,而且通常拥有较高权限;一旦管理或处理接口出现无需登录的命令注入,攻击者可能从“被检查的一方”反过来控制检查设备。
根据 Fortinet 公告,受影响范围包括 FortiSandbox 4.2 系列、4.4.0 至 4.4.8,以及 5.0.0 至 5.0.5。修复版本为 4.4.9 及更高版本、5.0.6 及更高版本。漏洞评分为 CVSS 9.8,意味着它同时满足远程、低复杂度、无需用户交互等高风险条件。
这里最容易产生的误解是:“我们的 FortiSandbox 没直接放在公网,所以不用急。”企业边界并不只有公网 IP。被入侵的 VPN 账户、合作方网络、错误的端口映射、内部已失陷主机,都可能让攻击者碰到本来以为“只在内网”的接口。

关键事实
- 漏洞编号为 CVE-2026-25089,CVSS 评分 9.8。
- 风险类型是未经认证的操作系统命令注入。
- 4.4 用户应升级至 4.4.9 或更高版本,5.0 用户应升级至 5.0.6 或更高版本。
- 在已有利用迹象的情况下,仅升级还不够,还需要排查设备是否曾被访问或改变。
OC 判断
安全设备漏洞的危险,不只来自“这台机器会不会坏”,还来自它往往连接样本、日志、凭据和内部网络。修复顺序应当高于普通应用服务。
管理员需要先从官方资产清单确认版本和暴露面,备份必要配置后升级,并审查异常管理请求、陌生进程、配置变化和异常外联。若设备已经出现可疑迹象,应按失陷主机处置,而不是打完补丁就宣布结束。
本文不提供可复制的攻击载荷。对防守方来说,版本、入口、日志和时间线比在生产设备上复现攻击更重要。
为什么重要
- 对运维人员: 无需认证的高危漏洞不能等待常规补丁周期。
- 对企业: 应把安全设备纳入统一资产与事件响应,而不是当成永远可信的黑盒。
- 对普通用户: 企业安全产品失陷可能间接影响文件、账号和内部业务数据。
评论
围绕这篇文章补充信息、提出问题或分享观察。