'Kritiek SQL Injection-lek in Fortinet FortiClientEMS actief misbruikt bij aanvallen'

In dit artikel:

Beveiligingsbedrijf Defused meldt dat een kritiek SQL‑injectionlek in Fortinet FortiClient EMS actief wordt misbruikt. Fortinet publiceerde op 6 februari patches voor de kwetsbaarheid (CVE‑2026‑21643), die zich in de admin‑interface van FortiClient EMS bevindt. Via specifiek samengestelde HTTP‑requests kan een ongeauthenticeerde aanvaller bestanden of commando’s uitvoeren op kwetsbare systemen, waardoor beheerfuncties voor endpoints (zoals antivirus, webfilters en VPN‑instellingen) op afstand kunnen worden aangetast.

Defused observeerde misbruik van de kwetsbaarheid al sinds minstens 24 maart en bracht hierover afgelopen zaterdag een waarschuwing uit op X; Fortinet heeft het actieve misbruik nog niet bevestigd. Organisaties met FortiClient EMS worden geadviseerd de beschikbare updates direct te installeren, logs en systemen te controleren op tekenen van compromis, en zo nodig getroffen appliances te isoleren. Twee jaar geleden vond er ook exploitatie plaats van een andere FortiClient EMS‑SQLi (CVE‑2023‑48788), toen werd door overheden eveneens dringend patchen aanbevolen.