Lådan vars uppgift är att detonera skadlig kod

En sandlåda finns till för att bli angripen. Man köper FortiSandbox för att misstänkta filer ska öppnas någon annanstans än i det egna nätet, iakttas medan de missköter sig och sedan bedömas. Den står per konstruktion exakt där det opålitliga anländer. Det är det som gör en oautentiserad kommandoinjektion i dess webbgränssnitt till en annan sorts problem än samma brist i en vanlig server.

CVE-2026-25089 är precis det. Bristen träffar webbgränssnittet i FortiSandbox, FortiSandbox Cloud och FortiSandbox PaaS och låter en oautentiserad angripare köra obehöriga kommandon via särskilt utformade HTTP-förfrågningar. Den bär en CVSS-poäng på 9.1. Fortinet offentliggjorde och patchade den den 9 juni 2026.

I mitten av juni började utnyttjandet, i mitten av juli märkte katalogen det

Utnyttjande av tre FortiSandbox-brister observerades i verkligheten under helgen den 14 till 16 juni, och oberoende spårning registrerade utnyttjande av CVE-2026-39808 redan den 12 juni. Fackpressen skrev om det då: Help Net Security den 16 juni, Qualys dagen därpå, vid sidan av The Hacker News och SecurityWeek. Två av de tre, CVE-2026-39808 och CVE-2026-39813, hade Fortinet redan offentliggjort i april. Den tredje, CVE-2026-25089, hade patchats den 9 juni, dagar innan attackerna började.

Den 16 juli 2026 publicerade CISA katalogversion 2026.07.16 och lade till tre poster. Två av dem är FortiSandbox-bristerna, CVE-2026-25089 och CVE-2026-39808. Den tredje är en deserialiseringsbrist i Microsoft SharePoint, CVE-2026-58644.

Räkna dagarna. Bekräftat, offentligt rapporterat utnyttjande i verkligheten mitt i juni. Post i den federala katalogen den 16 juli. Ungefär trettio dagar skiljer de två, på en låda som går att nå från internet med en oautentiserad brist för fjärrkörning av kod, och under de trettio dagarna var uppgiften inte hemlig. Den fanns i leverantörens säkerhetsmeddelanden och i fackpressen.

Den tredje saknas fortfarande

Tre FortiSandbox-CVE:er rapporterades som utnyttjade i den där junivågen. Två katalogiserades den 16 juli. CVE-2026-39813, en katalogtraverseringsbrist i FortiSandbox JRPC-API som kan användas för att kringgå autentisering, finns inte i katalogen.

Det är den delen som borde ändra hur katalogen används, inte bara hur snabbt. En KEV-post är en stark positiv signal: står något där utnyttjas det och ni bör agera. Frånvaron av en post är en betydligt svagare signal än de flesta patchprogram behandlar den som. CVE-2026-39813 rapporterades som utnyttjad vid sidan av de två som listades, i samma våg, på samma produktfamilj, och den kom inte med i katalogen. En organisation som patchar det CISA listar och skjuter upp det CISA inte listar har just skjutit upp en brist som angripare använde i juni.

En tredagarsklocka på en låda under ändringsstyrning

Alla tre posterna som lades till den 16 juli bär ett åtgärdsdatum den 19 juli 2026. Tre dagar.

För en europeisk operatör är den federala tidsfristen i sig inte bindande, och det är frestande att lägga den till handlingarna som en amerikansk administrativ detalj. Den är mer användbar som en avläsning av allvaret. Ett åtgärdsdatum om tre dagar är katalogens sätt att säga att den inte väntar sig att ni ska vänta på nästa fönster. Det obekväma är krocken med verkligheten: en sandlådeapparat ligger under ändringsstyrning just för att den inspekterar produktionstrafik, och tre dagar är inget ändringsfönster i de flesta organisationer. Den spänningen är det verkliga driftproblemet, och den löser sig inte genom att man läser tidsfristen noggrannare.

Under NIS2 ligger exponeringen inte i det amerikanska datumet utan i den vanliga aktsamhetsplikten, och en oautentiserad brist för fjärrkörning av kod i en säkerhetsapparat, utnyttjad i verkligheten i en månad med leverantörens patch tillgänglig, är svår att förklara som en accepterad risk.

Koppla om utlösaren

Anvisningen är liten och konkret. Om er sårbarhetsprocess startar när något dyker upp i KEV startar den ungefär en månad för sent och missar poster helt. Det är ingen kritik mot katalogen, som gör det den säger: den registrerar det som är känt utnyttjat, när bevisen når tröskeln. Det är kritik mot att använda ett bekräftelseflöde som förvarningssystem.

Gör tre saker. Prenumerera direkt på PSIRT-flödena från varje leverantör vars apparater terminerar opålitlig trafik, för Fortinet publicerade detta i juni medan katalogen talade i juli. Ge internetvända säkerhetsapparater ett eget patchspår med kortare klocka än den allmänna infrastrukturen, eftersom de på samma gång är de mest exponerade och de mest ändringsstyrda tillgångarna ni äger. Och kontrollera ert FortiSandbox-bestånd mot alla tre juni-CVE:erna, inte mot de två som katalogiserades.