CVE-2026-21643 luka jest opisywana jako podatność typu SQL injection w fortinet

Opublikowano działający kod exploita pozwalający na podniesienie uprawnień do poziomu SYSTEM z wykorzystaniem dziury w systemie aktualizacji sygnatur w Microsoft Defender. Sprawa jest nietypowa, bowiem Nightmare-Eclipse nie chciał bug bounty, ani nie poinformował producenta z wyprzedzeniem - po prostu opublikował działający exploit. Atak rozpoczyna się od systemu aktualizacji sygnatur Microsoft Defender, a następnie wykorzystuje RPC Defendera do uruchomienia procesu potomn

Okazuje się, że jest to prawdziwy plik modułu IPS, ale z wstrzykniętym dodatkowym kodem. Dodatkowy kod odpala backdoorka (widać tutaj zreszt