Vulnerabilidad alta en FortiClientEMS

Publicado hace 2 meses 20-03-2026

Fortinet anunció una vulnerabilidad alta en FortiClientEMS, la solución de administración centralizada de Fortinet para sus agentes de FortiClient en dispositivos finales. Es ampliamente usado para desplegar, configurar y monitorear instalaciones de FortiClient de las organizaciones. Esta herramienta ofrece despliegues “multi-tenant”, permitiendo administrar a múltiples clientes u organizaciones desde una sola instancia de FortiClientEMS.

La vulnerabilidad, que cuenta con el identificador CVE-2026-21643 y una severidad de 9.8, fue analizada por el equipo de Bishop Fox, quienes dieron información a profundidad sobre la misma. FortiClientEMS fue actualizado y prácticamente reescrito para implementar nuevas tecnologías y funciones, ahora utiliza una aplicación Django que se publica a través de un servidor Apache en el puerto 443, con una base de datos basada en PostgreSQL. Esta reescritura generó una falla en la cadena de procesamiento de peticiones HTTP, específicamente en el manejo de cabeceras que identificar ambientes de diferentes “tenants”.

Durante el procesamiento de las peticiones HTTP, de acuerdo con Bishop Fox, el error en el código toma el valor de la cabecera tal y como está, y lo inserta directamente en la base de datos PostgreSQl para buscar por una ruta, sin sanitizar primero el valor. Esta parte de la cadena se ejecuta incluso antes de que el usuario logre autenticarse, por lo que un atacante solo necesita enviar peticiones a un punto de acceso de alguna instancia pública de FortiClientEMS en la ruta “/api/v1/init_consts”, la cual no cuenta con límites de peticiones y que imprime errores de la base de datos directamente en la respuesta, exponiendo información que podría ser aprovechada por actores de amenaza.

Usando la técnica de extracción basada en errores, los actores de amenaza podrían obtener información sensible del servidor, permitiéndoles planear y/o ejecutar inyecciones SQL maliciosas para obtener permisos o información extra y generar brechas de información que podría poner en riesgo a una organización. Sumado a esto, la base de datos funciona a través de un usuario con privilegios máximos, lo cual podría llevar a atacantes a ejecutar comandos directamente en el sistema operativo, abriendo el camino a una toma completa de la red.

Afortunadamente el alcance de esta vulnerabilidad es, relativamente, pequeño, pues solo afecta a la versión 7.4.4 de FortiClientEMS con la función “multi-tenant” habilitada.
 

Versiones Afectadas

Productos Versiones afectadas Versiones corregidas
FortiClientEMS 7.4.4 7.4.5 en adelante

Recomendaciones

  • Actualizar lo antes posible a nuevas versiones no vulnerables.
  • Auditar registros de Apache en búsqueda de tráfico sospechoso en el API endpoint “/api/v1/init_consts”.
  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
  • Auditar herramientas de acceso remoto (NIST CSF, 2024).
  • Revisar logs para de ejecución de software de acceso remoto (NIST CSF, 2024).
  • Limitar estrictamente el uso de los protocolos SMB y RDP.
  • Realizar auditorías de seguridad (NIST CSF, 2024).
  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque (NIST CSF, 2024).
  • Tener filtros de correo electrónico y spam.
  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
  • Realizar copias de seguridad, respaldos o back-ups constantemente.
  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
  • Revisar continuamente los privilegios de los usuarios.
  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
  • Habilitar la autenticación multifactorial.

Referencias

  1. Divya. (2026, Marzo 18). FortiClient Hit by Severe SQL Injection Vulnerability Enabling Database Intrusion. GBHackers. Recuperado el 20 de marzo de 2026, en: https://gbhackers.com/forticlient-hit-by-severe-sql-injection-vulnerability/
  2. Untz, J. (2026, Marzo 9). Pre-Authentication SQL Injection in FortiClient EMS 7.4.4—CVE-2026-21643. Bishop Fox. Recuperado el 20 de marzo de 2026, en:  https://bishopfox.com/blog/cve-2026-21643-pre-authentication-sql-injection-in-forticlient-ems-7-4-4

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026

Microsoft ha publicado detalles sobre una vulnerabilidad de alta severidad en SharePoint Server que puede permitir la ejecución remota de código y comprometer entornos empresariales que usan implementaciones on‑premises. Registrada como CVE-2026-45659 y catalogad......

Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026

TeamPCP es un grupo presente desde 2025, el cual se especializa en infraestructura en la nube. Se enfoca en ejecutar ataques a cadena de suministro en varias etapas, adaptándose a los diferentes sistemas. El grupo ha conseguido afectar ecosistemas completos, así com......

Campaña de Phishing a través de Teams (Orígenes externos)
Publicado hace 3 semanas 26-05-2026

...

BOLETINES RECIENTES

...
ShinyHunters explota zero-day en Oracle PeopleSoft (CVE-2026-35273) y filtra datos de instituciones educativas
Publicado hace 1 día 16-06-2026
Leer más
...
Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026
Leer más
...
Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026
Leer más