Hack Alerta

Fortinet alerta: SQLi crítica em FortiClientEMS permite RCE — atualize já

Por Redação Hack Alerta Publicado em 09/02/2026 06:01 Riscos e Ameaças Tempo de leitura: 3 min

Fortinet divulgou CVE-2026-21643, uma SQL Injection em FortiClientEMS (CVSSv3 9.1) que pode permitir execução remota sem autenticação. A Fortinet recomenda atualizar 7.4.4 para 7.4.5; FortiEMS Cloud e branches 8.0/7.2 não são afetadas. Ainda não há provas públicas de exploração ativa.

Fortinet alerta: SQLi crítica em FortiClientEMS permite RCE — atualize já

Fortinet publicou um advisory para uma falha crítica em FortiClientEMS que pode permitir execução remota de código sem autenticação. Administradores devem priorizar a atualização para mitigar risco operacional elevado.

Resumo técnico

O problema, rastreado como CVE-2026-21643 e com pontuação CVSSv3 9.1 segundo a análise disponível, é uma vulnerabilidade de SQL Injection (CWE-89) localizada no componente de interface gráfica (GUI) do FortiClientEMS. A exploração permite que requisições HTTP malformadas manipulem consultas ao banco de dados, contornando mecanismos de autenticação e executando comandos arbitrários no servidor afetado.

O que a Fortinet informou

De acordo com o advisory oficial referenciado pela reportagem, a empresa indica que a falha afeta versões específicas da família 7.4; administradores que ainda rodem FortiClientEMS 7.4.4 devem “upgrade to FortiClientEMS 7.4.5 or above”. A Fortinet também afirmou que as branches 8.0 e 7.2 não são afetadas e que instâncias FortiEMS Cloud estão fora do escopo desta vulnerabilidade, conforme atualização de timeline publicada em 6 de fevereiro de 2026.

Impacto e vetor de exploração

O vetor identificado (SQLi no GUI) torna a falha especialmente perigosa para ambientes corporativos onde o EMS funciona como console central de gestão de endpoints, políticas e relatórios de conformidade. Um comprometimento do EMS pode ser usado como beachhead para movimentação lateral, alteração de políticas de segurança ou implantação de cargas maliciosas — incluindo ransomware — em larga escala.

Evidências e limites

Segundo o material de divulgação, a vulnerabilidade foi descoberta internamente por Gwendal Guégniaud da equipe de Product Security da Fortinet. A publicação registra que, no momento das informações disponíveis, não havia evidência pública de exploração ativa em larga escala. Ainda assim, pela gravidade e baixo requisito de complexidade de exploração (AV:N/AC:L/PR:N no vetor CVSS), a possibilidade de engenharia reversa do patch por atores de ameaça é real.

Mitigação e recomendações operacionais

  • Aplicar imediatamente a atualização indicada pela Fortinet: migrar FortiClientEMS 7.4.4 para 7.4.5 ou versão superior.
  • Isolar interfaces de gestão (EMS) do acesso público; restringir acesso via VPN/ACLs e segmentação de rede.
  • Revisar logs HTTP e WAFs em busca de requisições anômalas ao GUI que possam indicar tentativas de injecção SQL.
  • Verificar integridade de políticas e configurações do EMS após a atualização.

O que falta ser divulgado

A Fortinet divulgou a identificação e o caminho de correção, mas o advisory público, conforme o resumo consultado, não fornece evidências de exploração em ambientes reais nem indicadores de comprometimento (IOCs) extensos. Equipes de segurança internas devem aguardar o advisory completo da Fortinet para indicadores adicionais e revisar logs históricos para atividade suspeita.

Referência

Fonte: Fortinet advisory, reportagem do Cyber Security News (CVE-2026-21643, CVSSv3 9.1).
Baseado em publicação original de Cyber Security News
Tags: #fortinet #forticlientems #sql-injection #rce #cvss9 #patch #ems #vulnerability #security
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar