CVE-2026-21643 luka jest opisywana jako podatność typu SQL injection w fortinet

Kapitanhack - pisze o podatności krytycznej w Fortinet Dokładnie to dla Fortinet FortiClient EMS

Czym jest FortiClient EMS?

FortiClient EMS to scentralizowany serwer zarządzania umożliwiający organizacjom wdrażanie, konfigurowanie i monitorowanie endpointów FortiClient w swoich środowiskach. Obsługuje również wdrożenia wielodzierżawne (multi-tenant), pozwalając na zarządzanie wieloma środowiskami klientów z jednej instancji.

Oznaczona jako CVE-2026-21643 luka jest opisywana jako podatność typu SQL injection, którą można wykorzystać zdalnie, bez uwierzytelnienia, za pomocą specjalnie spreparowanych żądań HTTP.

W komunikacie Fortinet wskazuje, że skuteczne wykorzystanie luki może prowadzić do wykonania dowolnego kodu lub poleceń.

Podatność dotyczy FortiClient EMS w wersji 7.4.4. Została załatana na początku lutego w wersji 7.4.5. Według Fortinet luka była odkryta wewnętrznie. Miesiąc po jej publicznym ujawnieniu firma cybersecurity Bishop Fox opublikowała szczegóły techniczne, ostrzegając, że podatność jest łatwa do wykorzystania w praktyce.

„Nasza analiza pokazuje, że atakujący mogą eksploatować publicznie dostępny endpoint /api/v1/init_consts do przeprowadzenia ataku SQL injection przed uwierzytelnieniem. Ponieważ endpoint ten zwraca komunikaty błędów bazy danych i nie posiada mechanizmów blokowania, atakujący mogą szybko wyciągać wrażliwe dane z podatnych wielodzierżawnych wdrożeń FortiClient EMS 7.4.4” – ostrzegł Bishop Fox.

Na czym polega atak?

Jak wyjaśniła firma, problem pojawił się w wersji 7.4.4 wraz z przeprojektowaniem warstwy middleware i mechanizmu połączenia z bazą danych, co spowodowało, że nagłówki identyfikacyjne HTTP były przekazywane do zapytań bazodanowych bez odpowiedniej sanityzacji – jeszcze przed uwierzytelnieniem. Sanityzacja danych to proces oczyszczania danych wejściowych z potencjalnie niebezpiecznych znaków, elementów (np. tagów HTML, składni SQL) lub innych nieprawidłowości, mający na celu zapobieganie atakom – takim jak XSS czy SQL Injection.

Brak opisywanego wyżej procesu umożliwia atakującemu wykonywanie dowolnych zapytań SQL na bazie danych oraz uzyskanie dostępu do danych administratorów, listy endpointów, polityk bezpieczeństwa i certyfikatów.

Kod proof-of-concept (PoC) umożliwiający wykorzystanie tej podatności został opublikowany do wglądu dla każdego.

Jaka jest skala zagrożenia?

Firma Defused poinformowała, że podatność CVE-2026-21643 była aktywnie wykorzystywana przez co najmniej cztery dni. Zwrócono również uwagę, że około 1000 wdrożeń FortiClient EMS jest dostępnych bezpośrednio z Internetu. Z kolei według danych Shadowserver Foundation, na dzień 30 marca liczba publicznie dostępnych instancji przekraczała 2000.

Nie ma jednak pewności, ile z tych systemów nadal pozostaje podatnych na atak. Dodatkowo Fortinet nie zaktualizował jeszcze swojego komunikatu, aby jednoznacznie wskazać, że luka jest aktywnie wykorzystywana.