Fortinet en Ivanti hebben dinsdag beveiligingsupdates uitgebracht voor in totaal 18 kwetsbaarheden binnen hun productportfolio's, waaronder drie met een kritieke ernst. Fortinet publiceerde 11 advisories over evenveel bugs, waarvan twee kritieke kwetsbaarheden die code-uitvoering mogelijk maken.

De eerste kritieke kwetsbaarheid (CVE-2026-44277, CVSS-score 9.1) betreft een onjuiste toegangscontrole in FortiAuthenticator. Deze kan op afstand en zonder authenticatie worden misbruikt via speciaal opgemaakte verzoeken. Fortinet benadrukt dat FortiAuthenticator Cloud niet kwetsbaar is, waardoor klanten van die dienst geen actie hoeven te ondernemen. De tweede kritieke kwetsbaarheid (CVE-2026-26083, CVSS-score 9.1) betreft een ontbrekende autorisatie in FortiSandbox, FortiSandbox Cloud en FortiSandbox PaaS WEB UI. Kwaadwillenden kunnen via speciaal vervaardigde HTTP-verzoeken op afstand code of commando’s uitvoeren op de getroffen apparaten.

Daarnaast verholp Fortinet een kwetsbaarheid met hoge ernst (CVE-2025-53844) in de FortiOS capwap daemon, die code-uitvoering op FortiGate-apparaten mogelijk maakt. Hiervoor moet een aanvaller wel controle hebben over een geauthenticeerde FortiAP, FortiExtender of FortiSwitch. Verder zijn er zeven kwetsbaarheden met middelhoge ernst opgelost die verschillende Fortinet-producten treffen, waaronder FortiDeceptor WEB UI, FortiAP, FortiAnalyzer, FortiManager, FortiTokenAndroid, FortiMail en FortiNDR.

Ivanti bracht vier advisories uit over zeven beveiligingsfouten in Ivanti Secure Access Client, Xtraction, Virtual Traffic Manager en Endpoint Manager (EPM). De ernstigste kwetsbaarheid (CVE-2026-8043, CVSS-score 9.6) betreft externe bestandsnaamcontrole in Xtraction, waarmee aanvallers op afstand gevoelige bestanden kunnen uitlezen en willekeurige HTML-bestanden kunnen plaatsen in een webdirectory. Daarnaast zijn vier kwetsbaarheden met hoge ernst verholpen, waaronder SQL-injectie en onjuiste permissietoekenning in EPM, een OS-commando-injectie in Virtual Traffic Manager en een raceconditie in Secure Access Client. Exploitatie kan leiden tot privilege-escalatie en remote code-executie.

Beide bedrijven geven aan niet op de hoogte te zijn van actieve exploitatie van de gepatchte kwetsbaarheden in het wild. Tevens bracht Zoom patches uit voor drie beveiligingsproblemen, waaronder twee met hoge ernst in Rooms voor Windows en Workplace VDI Plugin voor Windows, die privilege-escalatie kunnen veroorzaken.