Multiple vulnerabilities across Fortinet products, including remote code execution, SQL injection, and privilege escalation, pose risks to data integrity and confidentiality. The article references CVEs with CVSS scores ranging from 6.7 (MEDIUM) to 8.8 (HIGH). Affected systems include numerous products such as FortiOS versions prior to 7.2.12, 7.4.9, and 7.6.4, FortiAnalyzer prior to 7.4.9 and 7.6.5, and FortiClientWindows prior to 7.4.3.
Premier Ministre S.G.D.S.N Agence nationale de la sécurité des systèmes d'information Paris, le 13 mai 2026 N° CERTFR-2026-AVI-0575 Affaire suivie par: CERT-FR Avis du CERT-FR Objet: Multiples vulnérabilités dans les produits Fortinet Gestion du document Référence CERTFR-2026-AVI-0575 Titre Multiples vulnérabilités dans les produits Fortinet Date de la première version 13 mai 2026 Date de la dernière version 13 mai 2026 Source(s) Bulletin de sécurité Fortinet FG-IR-26-123 du 12 mai 2026 Bulletin de sécurité Fortinet FG-IR-26-128 du 12 mai 2026 Bulletin de sécurité Fortinet FG-IR-26-129 du 12 mai 2026 Bulletin de sécurité Fortinet FG-IR-26-130 du 12 mai 2026 Bulletin de sécurité Fortinet FG-IR-26-131 du 12 mai 2026 Bulletin de sécurité Fortinet FG-IR-26-132 du 12 mai 2026 Bulletin de sécurité Fortinet FG-IR-26-133 du 12 mai 2026 Bulletin de sécurité Fortinet FG-IR-26-134 du 12 mai 2026 Bulletin de sécurité Fortinet FG-IR-26-136 du 12 mai 2026 Bulletin de sécurité Fortinet FG-IR-26-137 du 12 mai 2026 Bulletin de sécurité Fortinet FG-IR-26-138 du 12 mai 2026 Une gestion de version détaillée se trouve à la fin de ce document. Risques Atteinte à l'intégrité des données Atteinte à la confidentialité des données Contournement de la politique de sécurité Déni de service à distance Exécution de code arbitraire à distance Injection SQL (SQLi) Non spécifié par l'éditeur Élévation de privilèges Systèmes affectés FortiAnalyzer versions 7.6.x antérieures à 7.6.5 FortiAnalyzer versions antérieures à 7.4.9 FortiAP versions 7.6.x antérieures à 7.6.3 FortiAP versions antérieures à 7.4.6 FortiAP-U versions 7.0.x antérieures à 7.0.6 FortiAP-W2 versions antérieures à 7.4.5 FortiAuthenticator versions 6.5.x antérieures à 6.5.7 FortiAuthenticator versions 6.6.x antérieures à 6.6.9 FortiAuthenticator versions 8.0.x antérieures à 8.0.3 FortiClientWindows versions antérieures à 7.4.3 FortiDeceptor versions 5.x et 6.x antérieures à 6.1 FortiMail versions 7.2.x antérieures à 7.2.9 FortiMail versions 7.4.x antérieures à 7.4.6 FortiMail versions 7.6.x antérieures à 7.6.4 FortiManager versions 7.6.x antérieures à 7.6.5 FortiManager versions antérieures à 7.4.9 FortiNDR versions 7.6.x antérieures à 7.6.3 FortiNDR versions 7.x antérieures à 7.4.10 FortiOS versions 7.2.x antérieures à 7.2.12 FortiOS versions 7.4.x antérieures à 7.4.9 FortiOS versions 7.6.x antérieures à 7.6.4 FortiSandbox Cloud 23 toutes versions FortiSandbox Cloud 24 toutes versions FortiSandbox Cloud versions 5.x antérieures à 5.0.6 FortiSandbox PaaS 21.x, 22.x, et 23.x toutes versions FortiSandbox PaaS versions 4.4.x antérieures à 4.4.9 FortiSandbox PaaS versions 5.0.x antérieures à 5.0.2 FortiSandbox versions 4.4.x antérieures à 4.4.9 FortiSandbox versions 5.x antérieures à 5.0.2 FortiTokenAndroid versions antérieures à 6.4 Résumé De multiples vulnérabilités ont été découvertes dans les produits Fortinet. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une élévation de privilèges et un déni de service à distance. Solutions Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Documentation Bulletin de sécurité Fortinet FG-IR-26-123 du 12 mai 2026 https://www.fortiguard.com/psirt/FG-IR-26-123 Bulletin de sécurité Fortinet FG-IR-26-128 du 12 mai 2026 https://www.fortiguard.com/psirt/FG-IR-26-128 Bulletin de sécurité Fortinet FG-IR-26-129 du 12 mai 2026 https://www.fortiguard.com/psirt/FG-IR-26-129 Bulletin de sécurité Fortinet FG-IR-26-130 du 12 mai 2026 https://www.fortiguard.com/psirt/FG-IR-26-130 Bulletin de sécurité Fortinet FG-IR-26-131 du 12 mai 2026 https://www.fortiguard.com/psirt/FG-IR-26-131 Bulletin de sécurité Fortinet FG-IR-26-132 du 12 mai 2026 https://www.fortiguard.com/psirt/FG-IR-26-132 Bulletin de sécurité Fortinet FG-IR-26-133 du 12 mai 2026 https://www.fortiguard.com/psirt/FG-IR-26-133 Bulletin de sécurité Fortinet FG-IR-26-134 du 12 mai 2026 https://www.fortiguard.com/psirt/FG-IR-26-134 Bulletin de sécurité Fortinet FG-IR-26-136 du 12 mai 2026 https://www.fortiguard.com/psirt/FG-IR-26-136 Bulletin de sécurité Fortinet FG-IR-26-137 du 12 mai 2026 https://www.fortiguard.com/psirt/FG-IR-26-137 Bulletin de sécurité Fortinet FG-IR-26-138 du 12 mai 2026 https://www.fortiguard.com/psirt/FG-IR-26-138 Référence CVE CVE-2025-53680 https://www.cve.org/CVERecord?id=CVE-2025-53680 Référence CVE CVE-2025-53681 https://www.cve.org/CVERecord?id=CVE-2025-53681 Référence CVE CVE-2025-53844 https://www.cve.org/CVERecord?id=CVE-2025-53844 Référence CVE CVE-2025-53870 https://www.cve.org/CVERecord?id=CVE-2025-53870 Référence CVE CVE-2025-67604 https://www.cve.org/CVERecord?id=CVE-2025-67604 Référence CVE CVE-2026-25088 https://www.cve.org/CVERecord?id=CVE-2026-25088 Référence CVE CVE-2026-25690 https://www.cve.org/CVERecord?id=CVE-2026-25690 Référence CVE CVE-2026-26083 https://www.cve.org/CVERecord?id=CVE-2026-26083 Référence CVE CVE-2026-44277 https://www.cve.org/CVERecord?id=CVE-2026-44277 Référence CVE CVE-2026-44278 https://www.cve.org/CVERecord?id=CVE-2026-44278 Référence CVE CVE-2026-44279 https://www.cve.org/CVERecord?id=CVE-2026-44279 Gestion détaillée du document le 13 mai 2026 Version initiale