**Fortinet** a publié des mises à jour de sécurité pour corriger deux vulnérabilités critiques dans **FortiSandbox** et **FortiAuthenticator** qui pourraient permettre à des attaquants d'exécuter des commandes ou du code arbitraire sur des systèmes non patchés. ### Contrôle d'accès inapproprié dans FortiAuthenticator La première vulnérabilité, identifiée sous le nom de **CVE-2026-44277**, affecte la solution de gestion des identités et des accès (IAM) **FortiAuthenticator** de l'entreprise et a été corrigée dans les versions 6.5.7, 6.6.9 et 8.0.3 de **FortiAuthenticator**. « Une vulnérabilité de contrôle d'accès inapproprié [CWE-284] dans **FortiAuthenticator** peut permettre à un attaquant non authentifié d'exécuter du code ou des commandes non autorisées via des requêtes spécialement conçues », a déclaré **Fortinet** dans un [avis publié mardi](https://fortiguard.fortinet.com/psirt/FG-IR-26-128). L'entreprise a précisé que **FortiAuthenticator** Cloud (anciennement connu sous le nom de **FortiTrust Identity**), un service cloud de gestion des identités et des accès en tant que service (IDaaS) hébergé et géré par **Fortinet**, n'est pas affecté par ce problème. ### Faiblesse d'autorisation manquante dans FortiSandbox **Fortinet** a également corrigé une faiblesse d'autorisation manquante (**CVE-2026-26083**) qui peut être exploitée pour obtenir l'exécution de code à distance sur les systèmes **FortiSandbox** vulnérables. Ces systèmes sont conçus pour protéger contre les activités malveillantes, y compris les menaces zero-day. « Une vulnérabilité d'autorisation manquante [CWE-862] dans l'interface utilisateur Web de **FortiSandbox**, **FortiSandbox** Cloud et **FortiSandbox** PaaS peut permettre à un attaquant non authentifié d'exécuter du code ou des commandes non autorisées via des requêtes HTTP », indique l'avis. ### Les vulnérabilités Fortinet : une cible fréquente Bien que **Fortinet** n'ait pas signalé d'exploitation active de ces failles spécifiques, les vulnérabilités **Fortinet** sont couramment exploitées dans les attaques de ransomware et de cyber-espionnage, souvent en tant que zero-days. Par exemple, en février, **Fortinet** a corrigé une autre vulnérabilité critique (**CVE-2026-21643**) dans la plateforme **FortiClient** Enterprise Management Server (EMS). La société de renseignement sur les menaces **Defused** a signalé l'exploitation active de cette vulnérabilité un mois plus tard. Plus récemment, l'Agence américaine de cybersécurité et de sécurité des infrastructures (**CISA**) a ordonné aux agences fédérales début avril de patcher les instances **FortiClient** Enterprise Management Server (EMS) contre une faille de contournement d'authentification activement exploitée (**CVE-2026-35616**). **CISA** a ajouté 24 vulnérabilités **Fortinet** à son catalogue de failles de sécurité activement exploitées ces dernières années, dont 13 ont été abusées dans des attaques de ransomware.