Fortinet、FortiSandboxとFortiAuthenticatorの重大なRCE脆弱性について警告（CVE-2026-44277、CVE-2026-26083）

Fortinet、FortiSandboxとFortiAuthenticatorの重大なRCE脆弱性について警告（CVE-2026-44277、CVE-2026-26083）

BleepingComputer – May 12, 2026

Fortinetは12日、FortiAuthenticatorとFortiSandboxに存在する重大な脆弱性2件についてセキュリティアップデートをリリースした。

1件目の脆弱性（CVE-2026-44277）は、ID・アクセス管理（IAM）ソリューションのFortiAuthenticatorに影響を与えるもの。バージョン6.5.7、6.6.9、および8.0.3で修正されており、アドバイザリには「FortiAuthenticatorにおける不適切なアクセス制御の脆弱性（CWE-284）により、認証されていない攻撃者が細工されたリクエストを介して不正なコードやコマンドを実行できる可能性がある」と記された。Fortinetがホスト・管理するIDaaS（Identity and Access Management as a Service）のFortiAuthenticator Cloud（旧FortiTrust Identity）は、この問題の影響を受けないようだ。

もう1つの脆弱性（CVE-2026-26083）は、ゼロデイ攻撃など有害な活動からの保護を目的に設計されたFortiSandboxでリモートコード実行（RCE）を可能にする認証欠落の欠陥。こちらは「FortiSandbox、FortiSandbox Cloud、およびFortiSandbox PaaS Web UIにおける認証の欠落の脆弱性（CWE-862）により、認証されていない攻撃者がHTTPリクエストを介して不正なコードやコマンドを実行できる可能性がある」と説明された。

Fortinetはこれらの脆弱性が実際の攻撃で悪用されているとは述べていないが、同社製品の脆弱性はランサムウェア攻撃やサイバースパイ活動で頻繁に悪用されており、ゼロデイ攻撃に利用されるケースも多い。近年、米CISAのKEVカタログにはFortinetの脆弱性が24件追加され、そのうち13件がランサムウェア攻撃で悪用されている。

マイクロソフト、5月の月例パッチで脆弱性120件を修正　ゼロデイは含まれず（CVE-2026-35421、CVE-2026-40365他）

BleepingComputer – May 12, 2026

マイクロソフトが12日に2026年5月の月例パッチをリリースし、合わせて120件の脆弱性に対処した。

深刻度「Critical」の脆弱性は計17件あり、その内訳はRCEの脆弱性が14件、特権昇格の脆弱性が2件、情報漏洩の脆弱性が1件となっている。そのほか、脆弱性のカテゴリー別では以下のようになった。

• 特権昇格の脆弱性：61件
• セキュリティ機能バイパスの脆弱性：6件
• リモートコード実行の脆弱性：31件
• 情報漏洩の脆弱性：14件
• サービス拒否の脆弱性：8件
• なりすましの脆弱性：13件

中でも、特に注目に値するのは以下の3件。

• CVE-2026-35421（Critical）：Windows GDIにおけるリモートコード実行の脆弱性。
• CVE-2026-40365（Critical）：Microsoft Office SharePointサーバーにおけるリモートコード実行の脆弱性。
• CVE-2026-41096（Critical）：Windows DNS Clientにおけるリモートコード実行の脆弱性。

今回はMicrosoft Office、Word、ExcelのRCE脆弱性が多数修正されたものの、ゼロデイ脆弱性は含まれていない。

各脆弱性の詳細と影響を受けるシステムについては、こちらのレポート完全版から確認できる。