CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2026-21643

SQL Injection w Fortinet FortiClientEMS — nieautoryzowane wykonanie kodu

CVSS 9.8v3.1pub. 2026-02-06upd. 2026-04-16

Podatność typu SQL injection w Fortinet FortiClientEMS 7.4.4 umożliwia nieuwierzytelnionemu atakującemu wykonanie nieautoryzowanego kodu lub poleceń poprzez specjalnie spreparowane żądania HTTP. Ze względu na brak wymogu uwierzytelnienia oraz krytyczny wynik CVSS 9.8, stanowi bezpośrednie zagrożenie dla każdej ekspozycji publicznej.

Pokaż oryginał (EN)

An improper neutralization of special elements used in an sql command ('sql injection') vulnerability in Fortinet FortiClientEMS 7.4.4 may allow an unauthenticated attacker to execute unauthorized code or commands via specifically crafted HTTP requests.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej neutralizacji znaków specjalnych w zapytaniach SQL (CWE-89). Atakujący wysyła specjalnie spreparowane żądania HTTP, które zawierają złośliwe dane wstrzykiwane bezpośrednio do poleceń SQL wykonywanych przez aplikację. Brak odpowiedniej walidacji i sanityzacji danych wejściowych pozwala na manipulację logiką zapytań bazodanowych, a w konsekwencji na wykonanie nieautoryzowanych operacji lub kodu po stronie serwera.

Skutki

Nieuwierzytelniony atakujący może wykonać dowolny kod lub polecenia systemowe na podatnym serwerze, co w praktyce oznacza pełne przejęcie kontroli nad systemem zarządzania klientami FortiClientEMS, ujawnienie lub modyfikację danych oraz potencjalne lateral movement w sieci wewnętrznej.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi przez Fortinet (FG-IR-25-1142) pod adresem https://fortiguard.fortinet.com/psirt/FG-IR-25-1142. Ze względu na aktywne wykorzystywanie podatności w środowiskach produkcyjnych, aktualizacja powinna być przeprowadzona natychmiastowo. Do czasu wdrożenia patcha zaleca się ograniczenie dostępu do interfejsu FortiClientEMS wyłącznie do zaufanych sieci.

Kogo dotyczy

Fortinet FortiClientEMS w wersji 7.4.4

Uwagi

Publicznie dostępny kod exploita (proof-of-concept) opublikowano w repozytorium GitHub pod adresem https://github.com/0xBlackash/CVE-2026-21643/blob/main/cve-2026-21643.py. Podatność figuruje w katalogu CISA Known Exploited Vulnerabilities, co potwierdza jej aktywne wykorzystywanie w rzeczywistych atakach.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Fortinet Forticlientems

    APP
    Fortinet
    7.4.4

CISA KEV — szczegółyi

Dostawcai
Fortinet
Produkti
FortiClient EMS
Data dodania do KEVi
13 kwietnia 2026
Termin remediation (USA)i
16 kwietnia 2026(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych, lub zaprzestań użytkowania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Fortinet FortiClient EMS zawiera lukę SQL injection, która może umożliwić nieuwierzytelnionemu atakującemu wykonanie nieautoryzowanego kodu lub poleceń za pośrednictwem specjalnie przygotowanych żądań HTTP.

tłumaczenie AI
Pokaż oryginał (EN)

Fortinet FortiClient EMS contains a SQL injection vulnerability that may allow an unauthenticated attacker to execute unauthorized code or commands via specifically crafted HTTP requests.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 16 kwietnia 2026
Tagi
SQLiAuth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-35616CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Fortinet FortiClientEMS — nieuwierzytelnione wykonanie kodu (Auth Bypass)

CVE-2025-59922HIGH7.2ten sam produkt

An improper neutralization of special elements used in an SQL command ('SQL Injection') vulnerability [CWE-89]...

CVE-2024-23106HIGH8.1ten sam produkt

An improper restriction of excessive authentication attempts [CWE-307] in FortiClientEMS version 7.2.0 through...

CVE-2026-39809MEDIUM6.7ten sam produkt

A improper neutralization of special elements used in an sql command ('sql injection') vulnerability in Fortin...

CVE-2026-39810MEDIUM6.0ten sam produkt

A use of hard-coded cryptographic key vulnerability in Fortinet FortiClientEMS 7.4.0 through 7.4.5 may allow a...