Podatność typu SQL injection w Fortinet FortiClientEMS 7.4.4 umożliwia nieuwierzytelnionemu atakującemu wykonanie nieautoryzowanego kodu lub poleceń poprzez specjalnie spreparowane żądania HTTP. Ze względu na brak wymogu uwierzytelnienia oraz krytyczny wynik CVSS 9.8, stanowi bezpośrednie zagrożenie dla każdej ekspozycji publicznej.
▸ Pokaż oryginał (EN)
An improper neutralization of special elements used in an sql command ('sql injection') vulnerability in Fortinet FortiClientEMS 7.4.4 may allow an unauthenticated attacker to execute unauthorized code or commands via specifically crafted HTTP requests.
Podatność wynika z nieprawidłowej neutralizacji znaków specjalnych w zapytaniach SQL (CWE-89). Atakujący wysyła specjalnie spreparowane żądania HTTP, które zawierają złośliwe dane wstrzykiwane bezpośrednio do poleceń SQL wykonywanych przez aplikację. Brak odpowiedniej walidacji i sanityzacji danych wejściowych pozwala na manipulację logiką zapytań bazodanowych, a w konsekwencji na wykonanie nieautoryzowanych operacji lub kodu po stronie serwera.
Nieuwierzytelniony atakujący może wykonać dowolny kod lub polecenia systemowe na podatnym serwerze, co w praktyce oznacza pełne przejęcie kontroli nad systemem zarządzania klientami FortiClientEMS, ujawnienie lub modyfikację danych oraz potencjalne lateral movement w sieci wewnętrznej.
Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi przez Fortinet (FG-IR-25-1142) pod adresem https://fortiguard.fortinet.com/psirt/FG-IR-25-1142. Ze względu na aktywne wykorzystywanie podatności w środowiskach produkcyjnych, aktualizacja powinna być przeprowadzona natychmiastowo. Do czasu wdrożenia patcha zaleca się ograniczenie dostępu do interfejsu FortiClientEMS wyłącznie do zaufanych sieci.
Fortinet FortiClientEMS w wersji 7.4.4
Publicznie dostępny kod exploita (proof-of-concept) opublikowano w repozytorium GitHub pod adresem https://github.com/0xBlackash/CVE-2026-21643/blob/main/cve-2026-21643.py. Podatność figuruje w katalogu CISA Known Exploited Vulnerabilities, co potwierdza jej aktywne wykorzystywanie w rzeczywistych atakach.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HFortinet Forticlientems
APPFortinet7.4.4
CISA KEV — szczegółyi
- Dostawcai
- Fortinet ↗
- Produkti
- FortiClient EMS
- Data dodania do KEVi
- 13 kwietnia 2026
- Termin remediation (USA)i
- 16 kwietnia 2026(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych, lub zaprzestań użytkowania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
Fortinet FortiClient EMS zawiera lukę SQL injection, która może umożliwić nieuwierzytelnionemu atakującemu wykonanie nieautoryzowanego kodu lub poleceń za pośrednictwem specjalnie przygotowanych żądań HTTP.
▸ Pokaż oryginał (EN)
Fortinet FortiClient EMS contains a SQL injection vulnerability that may allow an unauthenticated attacker to execute unauthorized code or commands via specifically crafted HTTP requests.
Powiązane podatności
Fortinet FortiClientEMS — nieuwierzytelnione wykonanie kodu (Auth Bypass)
An improper neutralization of special elements used in an SQL command ('SQL Injection') vulnerability [CWE-89]...
An improper restriction of excessive authentication attempts [CWE-307] in FortiClientEMS version 7.2.0 through...
A improper neutralization of special elements used in an sql command ('sql injection') vulnerability in Fortin...
A use of hard-coded cryptographic key vulnerability in Fortinet FortiClientEMS 7.4.0 through 7.4.5 may allow a...