Fortinet opravila zneužívanú kritickú zraniteľnosť FortiClientEMS

Spoločnosť Fortinet opravila kritickú aktívne zneužívanú zraniteľnosť svojho produktu FortiClientEMS, ktorá umožňuje obísť autentifikáciu a vzdialene vykonávať kód.

Zraniteľné systémy:

• FortiClientEMS 7.4.5 – 7.4.6

Opis činnosti:

CVE-2026-35616 (CVSS skóre 9,8)

Kritická zraniteľnosť FortiClientEMS súvisí s nedostatočnou kontrolou prístupov. Vzdialený neautentifikovaný útočník ju môže zneužiť na obídenie API autentifikácie a vykonanie kódu alebo príkazov pomocou špeciálne vytvorených požiadaviek.

Spoločnosť Fortinet sa vyjadrila, že zraniteľnosť je aktívne zneužívaná. Americká agentúra CISA ju zaradila do svojho katalógu zneužívaných zraniteľností KEV.

Možné škody:

• Obídenie bezpečnostných prvkov
• Vzdialené vykonávanie kódu

Odporúčania:

Bezodkladná aktualizácia aspoň na verziu FortiClientEMS 7.4.7. Alternatívne môžete nainštalovať hotfix podľa postupu pre zraniteľnú verziu 7.4.5 a 7.4.6.

Odkazy:

• https://nvd.nist.gov/vuln/detail/CVE-2026-35616
• https://fortiguard.fortinet.com/psirt/FG-IR-26-099
• https://thehackernews.com/2026/04/fortinet-patches-actively-exploited-cve.html