Kritische Sicherheitslücke in Fortinet-Produkten mit SAML SSO

Das BSI veröffentlichte am 28. Januar 2026 einen BSI-IT-Sicherheitshinweis zu den folgenden drei kritischen Sicherheitslücken in mehreren Produkten von Fortinet:

• CVE-2026-24858 (EUVD-2026-4712) mit einem CVSS-Score von 9.8/10
• CVE-2025-59718 (EUVD-2025-202198) mit einem CVSS-Score von 9.8/10
• CVE-2025-59719 (EUVD-2025-202191) mit einem CVSS-Score von 9.8/10

Die Schwachstellen ermöglichen Angreifenden mittels eines FortiCloud-Kontos und eines registrierten Geräts, sich bei anderen Geräten anzumelden, die anderen Konten zugeordnet sind. Voraussetzung ist jedoch, dass die FortiCloud-SSO-Authentifizierung auf diesen Geräten aktiviert ist. Die FortiCloud-SSO-Anmeldung ist nicht standardmäßig aktiviert, wird aber im Rahmen der FortiCare-Registrierung auf Geräten aktiviert, wenn diese nicht explizit deaktiviert wird.

Die Sicherheitslücken betreffen verschiedene Versionen der Produkte FortiOS, FortiAnalyzer, FortiManager und FortiProxy. Eine vollständige Liste finden Sie im unten verlinkten Sicherheitshinweis des BSI und den unten verlinkten Warnmeldungen von Fortinet.

Weiter stellt Fortinet Patches zu allen Produkten bereit, die in den unten aufgeführten Warnmeldungen von Fortinet verlinkt sind. Im unten angegebenen Sicherheitshinweis des BSI finden Sie zudem weitere Details sowie Mitigationsmaßnahmen zu den Schwachstellen.

• Installieren Sie umgehend den für Ihr Fortinet-Produkt bereitgestellten Patch.
• Wenn noch kein Patch zu Ihrem Produkt vorhanden ist, prüfen Sie regelmäßig, ob Fortinet ein Versionsupdate veröffentlicht hat.
• Beachten Sie die Mitigationsmaßnahmen des BSI zu den oben genannten Schwachstellen.