Fortinet ha publicado una vulnerabilidad CRÍTICA que ya está siendo explotada de forma activa. Si
gestionáis endpoints con FortiClient EMS, conviene parchear cuanto antes.
Resumen
- Identificador: CVE-2026-35616 (aviso FG-IR-26-099)
- Gravedad: Crítica — CVSS 9.1
- Tipo: Control de acceso indebido (CWE-284) — bypass de autenticación y autorización en el componente de API
- Impacto: un atacante no autenticado puede ejecutar código o comandos no autorizados mediante
peticiones manipuladas (escalada de privilegios / ejecución remota) - Explotación activa: SÍ, confirmada por Fortinet ("exploited in the wild")
- Publicado: 4 de abril de 2026
- FortiClient EMS 7.4.5 a 7.4.6
- Actualizar a FortiClient EMS 7.4.7 o superior (o aplicar el hotfix indicado en las notas de versión para 7.4.5 y 7.4.6).
- FortiClient EMS 7.4.5: [Debes identificarte para poder ver enlaces.]
- FortiClient EMS 7.4.6: [Debes identificarte para poder ver enlaces.]
- FortiClient Cloud y FortiSASE: ya remediado por Fortinet, no requiere acción.
Recomendación
Dada la explotación activa y la severidad, Fortinet recomienda aplicar el parche/hotfix de inmediato. Revisad además los registros de la API en busca de accesos anómalos.
Fuente oficial: [Debes identificarte para poder ver enlaces.]
Reportada por los investigadores Simo Kohonen y Nguyen Duc Anh.
Resumen elaborado por la comunidad con fines informativos. Verifica siempre los detalles en el aviso oficial de Fortinet.