Multiple Fortinet Vulnerabilities Allow Code Execution
Summary
CERT-FR published advisory CERTFR-2026-AVI-0440 covering 29 vulnerabilities across multiple Fortinet product lines, including FortiOS, FortiAnalyzer, FortiManager, FortiProxy, FortiSandbox, FortiClientEMS, and others. Affected products span versions 7.x through 7.6.x and earlier, exposing systems to risks including remote code execution, data confidentiality and integrity breaches, SSRF, XSS, SQL injection, denial of service, and privilege escalation. Fortinet published corresponding security bulletins FG-IR-26-100 through FG-IR-26-127 between April 14-15, 2026.
What changed
CERT-FR published a comprehensive security advisory covering 29 distinct vulnerabilities across the Fortinet product family, referencing Fortinet security bulletins FG-IR-26-100 through FG-IR-26-127. The affected products include FortiOS, FortiAnalyzer, FortiManager, FortiProxy, FortiSandbox, FortiClientEMS, FortiDDoS-F, FortiNAC-F, FortiNDR, and FortiPAM across multiple version branches. The vulnerabilities expose systems to remote code execution, data confidentiality and integrity breaches, server-side request forgery (SSRF), cross-site scripting (XSS), SQL injection, denial of service, security policy bypass, and privilege escalation.
Organizations running any of the affected Fortinet product versions should prioritize patching, as exploitation could result in complete system compromise, data exfiltration, or service disruption. Security teams should inventory their Fortinet deployments, cross-reference version numbers against the advisory, and apply vendor-provided patches as they become available. Given the breadth of affected products spanning network security, management, and endpoint components, this advisory has implications across enterprise security infrastructure, endpoint management, and network operations teams.
What to do next
- Identify all affected Fortinet products in your infrastructure using the versions listed in the advisory
- Apply available patches and workarounds as released by Fortinet
- Monitor for updates to CERTFR-2026-AVI-0440 as additional patches are published
Archived snapshot
Apr 15, 2026GovPing captured this document from the original source. If the source has since changed or been removed, this is the text as it existed at that time.
Premier Ministre S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 15 avril 2026 N° CERTFR-2026-AVI-0440 Affaire suivie par: CERT-FR
Avis du CERT-FR
Objet: Multiples vulnérabilités dans les produits Fortinet
Gestion du document
| Référence | CERTFR-2026-AVI-0440 |
| Titre | Multiples vulnérabilités dans les produits Fortinet |
| Date de la première version | 15 avril 2026 |
| Date de la dernière version | 15 avril 2026 |
| Source(s) | Bulletin de sécurité Fortinet FG-IR-26-100 du 14 avril 2026
Bulletin de sécurité Fortinet FG-IR-26-101 du 14 avril 2026
Bulletin de sécurité Fortinet FG-IR-26-102 du 14 avril 2026
Bulletin de sécurité Fortinet FG-IR-26-103 du 14 avril 2026
Bulletin de sécurité Fortinet FG-IR-26-104 du 14 avril 2026
Bulletin de sécurité Fortinet FG-IR-26-105 du 14 avril 2026
Bulletin de sécurité Fortinet FG-IR-26-106 du 14 avril 2026
Bulletin de sécurité Fortinet FG-IR-26-107 du 14 avril 2026
Bulletin de sécurité Fortinet FG-IR-26-108 du 14 avril 2026
Bulletin de sécurité Fortinet FG-IR-26-109 du 14 avril 2026
Bulletin de sécurité Fortinet FG-IR-26-110 du 14 avril 2026
Bulletin de sécurité Fortinet FG-IR-26-111 du 14 avril 2026
Bulletin de sécurité Fortinet FG-IR-26-112 du 14 avril 2026
Bulletin de sécurité Fortinet FG-IR-26-113 du 14 avril 2026
Bulletin de sécurité Fortinet FG-IR-26-114 du 14 avril 2026
Bulletin de sécurité Fortinet FG-IR-26-115 du 14 avril 2026
Bulletin de sécurité Fortinet FG-IR-26-116 du 14 avril 2026
Bulletin de sécurité Fortinet FG-IR-26-117 du 14 avril 2026
Bulletin de sécurité Fortinet FG-IR-26-118 du 14 avril 2026
Bulletin de sécurité Fortinet FG-IR-26-119 du 14 avril 2026
Bulletin de sécurité Fortinet FG-IR-26-120 du 14 avril 2026
Bulletin de sécurité Fortinet FG-IR-26-121 du 14 avril 2026
Bulletin de sécurité Fortinet FG-IR-26-122 du 14 avril 2026
Bulletin de sécurité Fortinet FG-IR-26-124 du 14 avril 2026
Bulletin de sécurité Fortinet FG-IR-26-125 du 14 avril 2026
Bulletin de sécurité Fortinet FG-IR-26-126 du 14 avril 2026
Bulletin de sécurité Fortinet FG-IR-26-127 du 15 avril 2026 |
Une gestion de version détaillée se trouve à la fin de ce document.
Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
- Falsification de requêtes côté serveur (SSRF)
- Injection de code indirecte à distance (XSS)
- Injection SQL (SQLi)
- Non spécifié par l'éditeur
- Élévation de privilèges
Systèmes affectés
- FortiAnalyzer Cloud versions 7.6.x antérieures à 7.6.5
- FortiAnalyzer Cloud versions 7.x antérieures à 7.4.9
- FortiAnalyzer versions 7.6.x antérieures à 7.6.5
- FortiAnalyzer versions 7.x antérieures à 7.4.9
- FortiClientEMS versions 7.4.x antérieures à 7.4.6
- FortiClientEMS versions 7.x antérieures à 7.2.13
- FortiDDoS-F versions 7.2.x antérieures à 7.2.3
- FortiManager Cloud versions 7.6.x antérieures à 7.6.5
- FortiManager Cloud versions 7.x antérieures à 7.4.9
- FortiManager versions 7.6.x antérieures à 7.6.5
- FortiManager versions 7.x antérieures à 7.4.9
- FortiNAC-F versions 7.6.x antérieures à 7.6.6
- FortiNDR versions 7.6.x antérieures à 7.6.1
- FortiNDR versions 7.x antérieures à 7.4.9
- FortiOS versions 7.6.x antérieures à 7.6.5
- FortiOS versions antérieures à 7.4.10
- FortiPAM versions antérieures à 1.7.1
- FortiProxy versions 7.6.x antérieures à 7.6.5
- FortiProxy versions 7.x antérieures à 7.4.12
- FortiSandbox PaaS versions 4.2.x et 4.4.x antérieures à 4.4.9
- FortiSandbox PaaS versions 5.0.x antérieures à 5.0.6
- FortiSandbox versions 4.2.x et 4.4.x antérieures à 4.4.9 (cette version reste affectée par la vulnérabilité CVE-2026-27316)
- FortiSandbox versions 5.0.x antérieures à 5.0.6
- FortiSOAR on-premise versions 7.3.x, 7.4.x et 7.5.x antérieures à 7.5.3 avec File Content Extraction Connector versions antérieures à 1.3.1
- FortiSOAR on-premise versions 7.6.x antérieures à 7.6.5 avec File Content Extraction Connector versions antérieures à 1.3.1
- FortiSOAR PaaS versions 7.3.x, 7.4.x et 7.5.x antérieures à 7.5.3 avec File Content Extraction Connector versions antérieures à 1.3.1
- FortiSOAR PaaS versions 7.6.x antérieures à 7.6.5 avec File Content Extraction Connector versions antérieures à 1.3.1
- FortiSwitchManager versions 7.0.x antérieures à 7.0.7
- FortiSwitchManager versions 7.2.x antérieures à 7.2.8
- FortiVoice versions 7.0.x antérieures à 7.0.2
- FortiWeb versions 7.x antérieures à 7.6.7
- FortiWeb versions 8.0.x antérieures à 8.0.4
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Fortinet. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une élévation de privilèges et un déni de service à distance.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Fortinet FG-IR-26-100 du 14 avril 2026
- https://www.fortiguard.com/psirt/FG-IR-26-100
- Bulletin de sécurité Fortinet FG-IR-26-101 du 14 avril 2026
- https://www.fortiguard.com/psirt/FG-IR-26-101
- Bulletin de sécurité Fortinet FG-IR-26-102 du 14 avril 2026
- https://www.fortiguard.com/psirt/FG-IR-26-102
- Bulletin de sécurité Fortinet FG-IR-26-103 du 14 avril 2026
- https://www.fortiguard.com/psirt/FG-IR-26-103
- Bulletin de sécurité Fortinet FG-IR-26-104 du 14 avril 2026
- https://www.fortiguard.com/psirt/FG-IR-26-104
- Bulletin de sécurité Fortinet FG-IR-26-105 du 14 avril 2026
- https://www.fortiguard.com/psirt/FG-IR-26-105
- Bulletin de sécurité Fortinet FG-IR-26-106 du 14 avril 2026
- https://www.fortiguard.com/psirt/FG-IR-26-106
- Bulletin de sécurité Fortinet FG-IR-26-107 du 14 avril 2026
- https://www.fortiguard.com/psirt/FG-IR-26-107
- Bulletin de sécurité Fortinet FG-IR-26-108 du 14 avril 2026
- https://www.fortiguard.com/psirt/FG-IR-26-108
- Bulletin de sécurité Fortinet FG-IR-26-109 du 14 avril 2026
- https://www.fortiguard.com/psirt/FG-IR-26-109
- Bulletin de sécurité Fortinet FG-IR-26-110 du 14 avril 2026
- https://www.fortiguard.com/psirt/FG-IR-26-110
- Bulletin de sécurité Fortinet FG-IR-26-111 du 14 avril 2026
- https://www.fortiguard.com/psirt/FG-IR-26-111
- Bulletin de sécurité Fortinet FG-IR-26-112 du 14 avril 2026
- https://www.fortiguard.com/psirt/FG-IR-26-112
- Bulletin de sécurité Fortinet FG-IR-26-113 du 14 avril 2026
- https://www.fortiguard.com/psirt/FG-IR-26-113
- Bulletin de sécurité Fortinet FG-IR-26-114 du 14 avril 2026
- https://www.fortiguard.com/psirt/FG-IR-26-114
- Bulletin de sécurité Fortinet FG-IR-26-115 du 14 avril 2026
- https://www.fortiguard.com/psirt/FG-IR-26-115
- Bulletin de sécurité Fortinet FG-IR-26-116 du 14 avril 2026
- https://www.fortiguard.com/psirt/FG-IR-26-116
- Bulletin de sécurité Fortinet FG-IR-26-117 du 14 avril 2026
- https://www.fortiguard.com/psirt/FG-IR-26-117
- Bulletin de sécurité Fortinet FG-IR-26-118 du 14 avril 2026
- https://www.fortiguard.com/psirt/FG-IR-26-118
- Bulletin de sécurité Fortinet FG-IR-26-119 du 14 avril 2026
- https://www.fortiguard.com/psirt/FG-IR-26-119
- Bulletin de sécurité Fortinet FG-IR-26-120 du 14 avril 2026
- https://www.fortiguard.com/psirt/FG-IR-26-120
- Bulletin de sécurité Fortinet FG-IR-26-121 du 14 avril 2026
- https://www.fortiguard.com/psirt/FG-IR-26-121
- Bulletin de sécurité Fortinet FG-IR-26-122 du 14 avril 2026
- https://www.fortiguard.com/psirt/FG-IR-26-122
- Bulletin de sécurité Fortinet FG-IR-26-124 du 14 avril 2026
- https://www.fortiguard.com/psirt/FG-IR-26-124
- Bulletin de sécurité Fortinet FG-IR-26-125 du 14 avril 2026
- https://www.fortiguard.com/psirt/FG-IR-26-125
- Bulletin de sécurité Fortinet FG-IR-26-126 du 14 avril 2026
- https://www.fortiguard.com/psirt/FG-IR-26-126
- Bulletin de sécurité Fortinet FG-IR-26-127 du 15 avril 2026
- https://www.fortiguard.com/psirt/FG-IR-26-127
- Référence CVE CVE-2024-23104
- https://www.cve.org/CVERecord?id=CVE-2024-23104
- Référence CVE CVE-2025-53847
- https://www.cve.org/CVERecord?id=CVE-2025-53847
- Référence CVE CVE-2025-59809
- https://www.cve.org/CVERecord?id=CVE-2025-59809
- Référence CVE CVE-2025-61624
- https://www.cve.org/CVERecord?id=CVE-2025-61624
- Référence CVE CVE-2025-61848
- https://www.cve.org/CVERecord?id=CVE-2025-61848
- Référence CVE CVE-2025-61886
- https://www.cve.org/CVERecord?id=CVE-2025-61886
- Référence CVE CVE-2025-68649
- https://www.cve.org/CVERecord?id=CVE-2025-68649
- Référence CVE CVE-2026-21741
- https://www.cve.org/CVERecord?id=CVE-2026-21741
- Référence CVE CVE-2026-21742
- https://www.cve.org/CVERecord?id=CVE-2026-21742
- Référence CVE CVE-2026-22154
- https://www.cve.org/CVERecord?id=CVE-2026-22154
- Référence CVE CVE-2026-22155
- https://www.cve.org/CVERecord?id=CVE-2026-22155
- Référence CVE CVE-2026-22573
- https://www.cve.org/CVERecord?id=CVE-2026-22573
- Référence CVE CVE-2026-22574
- https://www.cve.org/CVERecord?id=CVE-2026-22574
- Référence CVE CVE-2026-22576
- https://www.cve.org/CVERecord?id=CVE-2026-22576
- Référence CVE CVE-2026-22828
- https://www.cve.org/CVERecord?id=CVE-2026-22828
- Référence CVE CVE-2026-23708
- https://www.cve.org/CVERecord?id=CVE-2026-23708
- Référence CVE CVE-2026-25691
- https://www.cve.org/CVERecord?id=CVE-2026-25691
- Référence CVE CVE-2026-27316
- https://www.cve.org/CVERecord?id=CVE-2026-27316
- Référence CVE CVE-2026-39808
- https://www.cve.org/CVERecord?id=CVE-2026-39808
- Référence CVE CVE-2026-39809
- https://www.cve.org/CVERecord?id=CVE-2026-39809
- Référence CVE CVE-2026-39810
- https://www.cve.org/CVERecord?id=CVE-2026-39810
- Référence CVE CVE-2026-39811
- https://www.cve.org/CVERecord?id=CVE-2026-39811
- Référence CVE CVE-2026-39812
- https://www.cve.org/CVERecord?id=CVE-2026-39812
- Référence CVE CVE-2026-39813
- https://www.cve.org/CVERecord?id=CVE-2026-39813
- Référence CVE CVE-2026-39814
- https://www.cve.org/CVERecord?id=CVE-2026-39814
- Référence CVE CVE-2026-39815
- https://www.cve.org/CVERecord?id=CVE-2026-39815
- Référence CVE CVE-2026-40688
- https://www.cve.org/CVERecord?id=CVE-2026-40688
Gestion détaillée du document
- le 15 avril 2026 Version initiale
Related changes
Get daily alerts for CERT-FR Security Advisories
Daily digest delivered to your inbox.
Free. Unsubscribe anytime.
About this page
Every important government, regulator, and court update from around the world. One place. Real-time. Free. Our mission
Source document text, dates, docket IDs, and authority are extracted directly from CERT-FR.
The summary, classification, recommended actions, deadlines, and penalty information are AI-generated from the original text and may contain errors. Always verify against the source document.
Classification
Who this affects
Taxonomy
Browse Categories
Get alerts for this source
We'll email you when CERT-FR Security Advisories publishes new changes.
Subscribed!
Optional. Filters your digest to exactly the updates that matter to you.