Fortinet ha publicado un hotfix fuera de banda para CVE-2026-35616, una vulnerabilidad crítica en FortiClient EMS que, según la compañía, ya está siendo explotada activamente. El fallo permite a un atacante no autenticado eludir controles de acceso del API y podría derivar en ejecución de comandos/código, por lo que se recomienda actualizar o aplicar el hotfix de inmediato, especialmente si el servidor está expuesto a Internet.
Fortinet ha emitido un parche urgente (un hotfix fuera de banda) para CVE-2026-35616, una vulnerabilidad catalogada como crítica (el artículo menciona CVSS 9.1) que afecta a FortiClient EMS (Endpoint Management Server), el componente utilizado para administrar y desplegar políticas sobre endpoints en entornos corporativos. La propia compañía indica que ha observado explotación activa en la naturaleza, lo que eleva el riesgo operativo y convierte la actualización en una medida prioritaria, sobre todo en organizaciones donde EMS sea accesible desde Internet.
El problema se describe como un caso de control de acceso inapropiado (referenciado como CWE-284) en el API de FortiClient EMS. En la práctica, esto se traduce en un posible bypass pre-auth: un atacante podría enviar solicitudes manipuladas para saltarse controles de autenticación/autorización y acceder a funciones o rutas del API que deberían estar restringidas. Ese tipo de fallos, cuando afectan a un servidor de gestión, son especialmente delicados porque el servidor suele tener visibilidad y control sobre múltiples equipos; por eso, el impacto potencial incluye escalada de privilegios y la posibilidad de ejecución de comandos/código, según el análisis del artículo.
De acuerdo con la información recogida, las versiones afectadas incluyen FortiClient EMS 7.4.5 y FortiClient EMS 7.4.6. El hotfix pretende reducir la exposición de forma inmediata y se espera que la corrección completa quede integrada en FortiClient EMS 7.4.7. También se menciona que investigadores como Simo Kohonen (Defused Cyber) y Nguyen Duc Anh han sido acreditados por el hallazgo, y que watchTowr habría observado intentos de explotación en honeypots desde el 31 de marzo de 2026, una señal habitual de que actores maliciosos ya están probando o automatizando ataques.
Además, el artículo recuerda otra vulnerabilidad reciente en el mismo producto, CVE-2026-21643, igualmente citada como explotada activamente, sin confirmar si existe relación o si se están encadenando ambas. En este contexto, la recomendación operativa más prudente es tratar cualquier instancia de FortiClient EMS expuesta como una prioridad de respuesta a incidentes: aplicar el hotfix o actualizar a la versión más reciente disponible cuanto antes, reducir la superficie expuesta (por ejemplo, limitando acceso al API mediante controles de red) y reforzar la vigilancia de eventos y registros para detectar actividad anómala a partir de finales de marzo de 2026. Aunque el artículo no aporta IoCs concretos, la combinación de pre-auth, explotación en curso y la relevancia de EMS en la administración de endpoints hace que el tiempo de reacción sea el factor más determinante para minimizar el impacto.
Más información
- The Hacker News: https://thehackernews.com/2026/04/fortinet-patches-actively-exploited-cve.html?utm_source=openai
La entrada Fortinet corrige una vulnerabilidad crítica explotada activamente en FortiClient EMS (CVE-2026-35616) se publicó primero en Una Al Día.
☞ El artículo completo original de Hispasec lo puedes ver aquí