Multiple critical vulnerabilities in Fortinet products, including CVE-2026-25089 (CVSS 9.8), allow for remote code execution and data confidentiality breaches. Affected versions include FortiOS 7.2.x before 7.2.11, 7.4.x before 7.4.8, and 7.6.x before 7.6.3, as well as specific versions of FortiProxy, FortiPortal, and FortiSandbox. Patches are available in the fixed versions listed in the corresponding Fortinet security bulletins FG-IR-26-140, FG-IR-26-141, and FG-IR-26-143.
Premier Ministre S.G.D.S.N Agence nationale de la sécurité des systèmes d'information Paris, le 10 juin 2026 N° CERTFR-2026-AVI-0725 Affaire suivie par: CERT-FR Avis du CERT-FR Objet: Multiples vulnérabilités dans les produits Fortinet Gestion du document Référence CERTFR-2026-AVI-0725 Titre Multiples vulnérabilités dans les produits Fortinet Date de la première version 10 juin 2026 Date de la dernière version 10 juin 2026 Source(s) Bulletin de sécurité Fortinet FG-IR-26-140 du 09 juin 2026 Bulletin de sécurité Fortinet FG-IR-26-141 du 09 juin 2026 Bulletin de sécurité Fortinet FG-IR-26-143 du 09 juin 2026 Une gestion de version détaillée se trouve à la fin de ce document. Risques Atteinte à la confidentialité des données Exécution de code arbitraire à distance Systèmes affectés FortiOS versions 7.2.x antérieures à 7.2.11 FortiOS versions 7.4.x antérieures à 7.4.8 FortiOS versions 7.6.x antérieures à 7.6.3 FortiPortal versions 7.4.x antérieures à 7.4.8 FortiPortal versions antérieures à 7.2.9 FortiProxy versions 7.2.x antérieures à 7.2.15 FortiProxy versions 7.4.x antérieures à 7.4.11 FortiProxy versions 7.6.x antérieures à 7.6.4 FortiSandbox Cloud versions 5.0.4 et 5.0.5 antérieures à 5.0.6 FortiSandbox PaaS versions 5.0.4 et 5.0.5 antérieures à 5.0.6 FortiSandbox versions 4.4.x antérieures à 4.4.9 FortiSandbox versions 5.0.x antérieures à 5.0.6 Résumé De multiples vulnérabilités ont été découvertes dans les produits Fortinet. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et une atteinte à la confidentialité des données. Solutions Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Documentation Bulletin de sécurité Fortinet FG-IR-26-140 du 09 juin 2026 https://www.fortiguard.com/psirt/FG-IR-26-140 Bulletin de sécurité Fortinet FG-IR-26-141 du 09 juin 2026 https://www.fortiguard.com/psirt/FG-IR-26-141 Bulletin de sécurité Fortinet FG-IR-26-143 du 09 juin 2026 https://www.fortiguard.com/psirt/FG-IR-26-143 Référence CVE CVE-2025-67862 https://www.cve.org/CVERecord?id=CVE-2025-67862 Référence CVE CVE-2026-25089 https://www.cve.org/CVERecord?id=CVE-2026-25089 Référence CVE CVE-2026-49938 https://www.cve.org/CVERecord?id=CVE-2026-49938 Gestion détaillée du document le 10 juin 2026 Version initiale