Fortinet PSIRT FG-IR-26-099 — Bypass de autenticación/autorización en la API de FortiClient EMS

Fortinet ha publicado una vulnerabilidad CRÍTICA que ya está siendo explotada de forma activa. Si
gestionáis endpoints con FortiClient EMS, conviene parchear cuanto antes.

Resumen

• Identificador: CVE-2026-35616 (aviso FG-IR-26-099)
• Gravedad: Crítica — CVSS 9.1
• Tipo: Control de acceso indebido (CWE-284) — bypass de autenticación y autorización en el componente de API
• Impacto: un atacante no autenticado puede ejecutar código o comandos no autorizados mediante
  peticiones manipuladas (escalada de privilegios / ejecución remota)
• Explotación activa: SÍ, confirmada por Fortinet ("exploited in the wild")
• Publicado: 4 de abril de 2026

Productos y versiones afectadas

• FortiClient EMS 7.4.5 a 7.4.6

Solución

• Actualizar a FortiClient EMS 7.4.7 o superior (o aplicar el hotfix indicado en las notas de versión para 7.4.5 y 7.4.6).
  • FortiClient EMS 7.4.5: [Debes identificarte para poder ver enlaces.]
  • FortiClient EMS 7.4.6: [Debes identificarte para poder ver enlaces.]

• FortiClient Cloud y FortiSASE: ya remediado por Fortinet, no requiere acción.

Recomendación
Dada la explotación activa y la severidad, Fortinet recomienda aplicar el parche/hotfix de inmediato. Revisad además los registros de la API en busca de accesos anómalos.

Fuente oficial: [Debes identificarte para poder ver enlaces.]
Reportada por los investigadores Simo Kohonen y Nguyen Duc Anh.

Resumen elaborado por la comunidad con fines informativos. Verifica siempre los detalles en el aviso oficial de Fortinet.