SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

14 abr 2026

Segu-Info » , » (otras) Vulnerabilidades críticas RCE en FortiClient EMS (agregada a KEV)

(otras) Vulnerabilidades críticas RCE en FortiClient EMS (agregada a KEV)

14 abr 2026, 6:56:00 p.m.   Comenta primero!
  ,  

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) añadió las vulnerabilidades CVE-2026-35616 (control de acceso inadecuado) y CVE-2026-21643 (Inyección SQL) debido a su explotación activa.

Además, hoy Fortinet ha corregido una nueva vulnerabilidad identificada como CVE-2026-39808 / FG-IR-26-100 (CVSS 9.1), una inyección de comandos del sistema operativo en FortiSandbox que podría permitir a un atacante no autenticado ejecutar código o comandos no autorizados a través de solicitudes HTTP diseñadas.

CVE-2026-35616 (CVSS de 9.1) es una vulnerabilidad de gravedad crítica basada en CWE-284 (Control de Acceso Inadecuado). La vulnerabilidad afecta específicamente a las versiones 7.4.5 y 7.4.6 de FortiClient EMS, mientras que la versión 7.2 no se ve afectada.

La vulnerabilidad permite eludir el acceso a la API sin autenticación previa, posibilitando el escalamiento de privilegios sin credenciales válidas. Según el aviso oficial de Fortinet (FG-IR-26-099), la vulnerabilidad permite a un atacante no autenticado eludir las protecciones de autenticación y autorización de la API y ejecutar código o comandos maliciosos mediante solicitudes HTTP especialmente diseñadas.

Esto otorga a los ciberdelincuentes una primitiva de ejecución remota de código (RCE) sin autenticación contra implementaciones de EMS expuestas. Una explotación exitosa permite a un atacante:

  • Eludir los controles de autenticación y autorización de la API sin credenciales.
  • Ejecutar código o comandos no autorizados de forma remota mediante solicitudes manipuladas.
  • Obtener acceso inicial a la red objetivo, lo que permite el movimiento lateral o la implementación de malware.
  • Escalar privilegios dentro del entorno EMS, comprometiendo a los clientes de punto final conectados.

La explotación activa de esta vulnerabilidad Zero-Day se registró por primera vez el 31 de marzo de 2026, cuando watchTowr detectó intentos de explotación contra sus honeypots. Los investigadores de seguridad Simo Kohonen, de Defused Cyber, y Nguyen Duc Anh fueron reconocidos por descubrir y reportar responsablemente la falla.

Fortinet confirmó la explotación en la práctica en su aviso de emergencia del fin de semana, indicando que "insta a los clientes vulnerables a instalar el parche para FortiClient EMS 7.4.5 y 7.4.6".

La rápida confirmación de Fortinet tras la divulgación pública de Defused Cyber ​​subraya la gravedad e inmediatez de la amenaza. Esta es la segunda vulnerabilidad crítica de EMS explotada en cuestión de semanas, lo que genera preocupación sobre la superficie de ataque expuesta por las implementaciones de FortiClient EMS con acceso a internet.

La Fundación Shadowserver ha emitido una advertencia urgente a los administradores de FortiClient Enterprise Management Server (EMS). Han identificado más de 2.000 instancias accesibles públicamente en todo el mundo, y se ha confirmado que dos de ellas están siendo explotadas activamente debido a vulnerabilidades críticas de ejecución remota de código (RCE) sin autenticación. Este script permite detectar la vulnerabilidad.

Por su parte CVE-2026-21643 / FG-IR-25-1142 (CVSS de 9.1) es una falla de Fortinet FortiClient EMS y ha sido objeto de explotación activa en estado salvaje a partir del 24 de marzo de 2026. La vulnerabilidad en cuestión es una inyección SQL crítica que podría permitir a un atacante no autenticado ejecutar código o comandos no autorizados a través de solicitudes HTTP específicamente diseñadas. La vulnerabilidad afecta solo FortiClientEMS 7.4.4 y se corrige en 7.4.5.

La adición al catálogo se produce después de que Defused Cyber dijera que detectó intentos de explotación dirigidos a la falla desde el 24 de marzo de 2026.

Otras vulnerabilidades agregadas al catalogo KEV

  • CVE-2020-9715 (CVSS: 7,8): una vulnerabilidad de uso después de la liberación en Adobe Acrobat Reader que podría provocar la ejecución remota de código.
  • CVE-2023-36424 (CVSS: 7,8): una vulnerabilidad de lectura fuera de límites en el controlador del sistema de archivos de registro común de Microsoft Windows que podría provocar una escalada de privilegios.
  • CVE-2023-21529 (CVSS: 8,8): una deserialización de datos que no son de confianza en Microsoft Exchange Server que podría permitir a un atacante autenticado lograr la ejecución remota de código. La semana pasada, Microsoft reveló que un actor de amenazas al que rastrea como Storm-1175 ha estado utilizando CVE-2023-21529 como arma en ataques para entregar ransomware Medusa.
  • CVE-2025-60710 (CVSS: 7,8): una resolución de enlace incorrecta antes de la vulnerabilidad de acceso a archivos en el proceso de host para tareas de Windows que podría permitir a un atacante autorizado elevar los privilegios localmente.
  • CVE-2012-1854 (CVSS: 7,8): una vulnerabilidad de carga de biblioteca insegura en Microsoft Visual Basic para Aplicaciones (VBA) que podría provocar la ejecución remota de código.

Fuente: CyberSecurityNews



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!