Fortinet confirmó que dos vulnerabilidades críticas en su producto FortiSandbox, identificadas como CVE-2026-25089 y CVE-2026-26083, están siendo explotadas activamente por atacantes. Ambas fallas tienen una puntuación CVSS de 9.8 sobre 10, el nivel más alto de severidad, y afectan a organizaciones que usan esta herramienta para analizar archivos sospechosos en busca de malware.
Qué permite hacer la vulnerabilidad
CVE-2026-25089 es una falla de inyección de comandos del sistema operativo que no requiere autenticación. Un atacante remoto puede enviar peticiones HTTP especialmente diseñadas, aprovechando una función del panel web relacionada con VNC, para ejecutar comandos arbitrarios y tomar control total del equipo afectado.
- Versiones afectadas: FortiSandbox 5.0.0–5.0.5, 4.4.0–4.4.8, 4.2.x, además de FortiSandbox Cloud y FortiSandbox PaaS en rangos específicos.
- Impacto potencial: ejecución remota de código, acceso a datos analizados en el sandbox, movimiento lateral dentro de la red y persistencia del atacante.
- Fortinet publicó parches el 9 de junio de 2026, pero la explotación activa continúa reportándose en julio.
Qué debe hacer una empresa esta semana
Los equipos de TI deben actualizar de inmediato a las versiones corregidas (FortiSandbox 5.0.6+, 4.4.9+ o contactar soporte para la rama 4.2.x). Como mitigación temporal mientras se aplica el parche, se recomienda restringir el acceso HTTP a la interfaz de administración únicamente a direcciones IP autorizadas y revisar registros en busca de actividad sospechosa relacionada con la función de VNC del panel.
Este tipo de incidentes recuerda que la seguridad perimetral no basta: las organizaciones necesitan visibilidad continua sobre qué sistemas están expuestos y con qué versión de software operan. En TEKFENIX construimos software empresarial a medida pensando en esa disciplina de monitoreo constante: nuestra plataforma CumplimientoControl aplica el mismo principio de trazabilidad y alerta temprana al riesgo financiero y regulatorio, y creemos que toda empresa —sin importar el área— debería tratar la gestión de vulnerabilidades con el mismo rigor con el que se audita el cumplimiento normativo.