Podatność nieprawidłowej kontroli dostępu w Fortinet FortiClientEMS umożliwia nieuwierzytelnionemu atakującemu wykonanie nieautoryzowanego kodu lub poleceń. Jest aktywnie wykorzystywana przez atakujących, co czyni ją bezpośrednim zagrożeniem dla organizacji korzystających z podatnych wersji produktu.
▸ Pokaż oryginał (EN)
A improper access control vulnerability in Fortinet FortiClientEMS 7.4.5 through 7.4.6 may allow an unauthenticated attacker to execute unauthorized code or commands via crafted requests.
Luka wynika z nieprawidłowej implementacji kontroli dostępu (CWE-284), która nie wymaga od atakującego posiadania jakichkolwiek poświadczeń. Atakujący może wysyłać specjalnie spreparowane żądania sieciowe do podatnego serwera FortiClientEMS, omijając mechanizmy uwierzytelniania. W wyniku tego możliwe jest wykonanie dowolnego kodu lub poleceń w kontekście aplikacji.
Atakujący uzyskuje możliwość nieautoryzowanego wykonania kodu lub poleceń na podatnym systemie bez konieczności uwierzytelniania, co może prowadzić do pełnego przejęcia kontroli nad serwerem FortiClientEMS oraz naruszenia poufności, integralności i dostępności danych.
Należy niezwłocznie zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi przez Fortinet pod adresem https://fortiguard.fortinet.com/psirt/FG-IR-26-099. Do czasu wdrożenia aktualizacji zaleca się ograniczenie dostępu do interfejsu FortiClientEMS wyłącznie do zaufanych adresów IP oraz segmentację sieciową.
Fortinet FortiClientEMS w wersjach 7.4.5 oraz 7.4.6
Podatność figuruje w katalogu CISA Known Exploited Vulnerabilities (KEV), co potwierdza aktywne wykorzystywanie jej w środowiskach produkcyjnych. Organizacje korzystające z Fortinet FortiClientEMS powinny potraktować aktualizację jako działanie priorytetowe.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HFortinet Forticlientems
APPFortinet7.4.57.4.6
CISA KEV — szczegółyi
- Dostawcai
- Fortinet ↗
- Produkti
- FortiClient EMS
- Data dodania do KEVi
- 6 kwietnia 2026
- Termin remediation (USA)i
- 9 kwietnia 2026(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
Fortinet FortiClient EMS zawiera lukę w kontroli dostępu, która może pozwolić nieuwierzytelnionemu atakującemu na wykonanie nieautoryzowanego kodu lub poleceń poprzez spreparowane żądania.
▸ Pokaż oryginał (EN)
Fortinet FortiClient EMS contains an improper access control vulnerability that may allow an unauthenticated attacker to execute unauthorized code or commands via crafted requests.
Powiązane podatności
SQL Injection w Fortinet FortiClientEMS — nieautoryzowane wykonanie kodu
An improper neutralization of special elements used in an SQL command ('SQL Injection') vulnerability [CWE-89]...
An improper restriction of excessive authentication attempts [CWE-307] in FortiClientEMS version 7.2.0 through...
A improper neutralization of special elements used in an sql command ('sql injection') vulnerability in Fortin...
A use of hard-coded cryptographic key vulnerability in Fortinet FortiClientEMS 7.4.0 through 7.4.5 may allow a...