**Fortinet** lançou atualizações de segurança para corrigir duas vulnerabilidades críticas no **FortiSandbox** e **FortiAuthenticator** que poderiam permitir que atacantes executassem comandos ou código arbitrário em sistemas não corrigidos. ### Controle de Acesso Inadequado no FortiAuthenticator A primeira vulnerabilidade, rastreada como **CVE-2026-44277**, afeta a solução de Gerenciamento de Identidade e Acesso (IAM) **FortiAuthenticator** da empresa e foi corrigida nas versões 6.5.7, 6.6.9 e 8.0.3 do **FortiAuthenticator**. "Uma vulnerabilidade de Controle de Acesso Inadequado [CWE-284] no **FortiAuthenticator** pode permitir que um atacante não autenticado execute código ou comandos não autorizados por meio de requisições maliciosas", disse a **Fortinet** em [um aviso na terça-feira](https://fortiguard.fortinet.com/psirt/FG-IR-26-128). A empresa esclareceu que o **FortiAuthenticator** Cloud (anteriormente conhecido como **FortiTrust Identity**), um serviço de nuvem de Gerenciamento de Identidade e Acesso como Serviço (IDaaS) hospedado e gerenciado pela **Fortinet**, não é afetado por este problema. ### Falha de Autorização Ausente no FortiSandbox A **Fortinet** também abordou uma falha de autorização ausente (**CVE-2026-26083**) que pode ser explorada para obter execução remota de código em sistemas **FortiSandbox** vulneráveis. Esses sistemas são projetados para proteger contra atividades maliciosas, incluindo ameaças zero-day. "Uma vulnerabilidade de autorização ausente [CWE-862] no **FortiSandbox**, **FortiSandbox** Cloud e na interface WEB do **FortiSandbox** PaaS pode permitir que um atacante não autenticado execute código ou comandos não autorizados via requisições HTTP", afirmou o aviso. ### Vulnerabilidades Fortinet: Um Alvo Frequente Embora a **Fortinet** não tenha indicado exploração ativa dessas falhas específicas, as vulnerabilidades da **Fortinet** são comumente exploradas em ataques de ransomware e ciberespionagem, muitas vezes como zero-days. Por exemplo, em fevereiro, a **Fortinet** corrigiu outra vulnerabilidade crítica (**CVE-2026-21643**) na plataforma **FortiClient** Enterprise Management Server (EMS). A empresa de inteligência de ameaças **Defused** relatou exploração ativa dessa vulnerabilidade um mês depois. Recentemente, a Agência de Segurança Cibernética e Infraestrutura dos EUA (**CISA**) ordenou que agências federais, no início de abril, corrigissem instâncias do **FortiClient** Enterprise Management Server (EMS) contra uma falha de bypass de autenticação explorada ativamente (**CVE-2026-35616**). A **CISA** adicionou 24 vulnerabilidades da **Fortinet** ao seu catálogo de falhas de segurança exploradas ativamente nos últimos anos, com 13 delas sendo abusadas em ataques de ransomware.