Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Omisión de autenticación en FortiClientEMS de Fortinet

Fecha de publicación 06/04/2026
Identificador
INCIBE-2026-255
Recursos Afectados

FortiClientEMS 7.4: versiones desde la 7.4.5 a las 7.4.6.

Descripción

Simo Kohonen de Defused y Nguyen Duc Anh han informado sobre una vulnerabilidad de severidad crítica que, de ser explotara, podría permitir ejecutar código o comandos no autorizados mediante solicitudes manipuladas.

Fortinet ha observado que esta vulnerabilidad se está explotando en la práctica.

Solución

Actualizar a la próxima versión 7.4.7 o superior.

Detalle

CVE-2026-35616: control de acceso inadecuado en FortiClient EMS. Esta vulnerabilidad podría permitir a un atacante, no autenticado, ejecutar código o comandos no autorizados mediante solicitudes manipuladas.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-35616 Crítica Si Fortinet
Listado de referencias
API authentication and authorization bypass
Etiquetas