Fortinet FortiClient Endpoint Management Server (EMS) 中存在一個嚴重的 SQL 注入漏洞 (CVE-2026-21643)，該漏洞是用於管理各種平台上的 FortiClient 端點代理程式的伺服器，目前正被積極利用。該警告來自 Defused Cyber，該公司幫助組織部署蜜罐/虛假資產，並利用它們來捕獲真實的攻擊嘗試和漏洞利用，並提供早期預警威脅情報。

「目前，CISA 和其他已知已利用漏洞 (KEV) 清單中的 [CVE-2026-21643] 被標記為未被利用，但根據我們的數據，該漏洞在 4 天前就已經被首次利用了，」該公司週日表示。

關於 CVE-2026-21643

CVE-2026-21643 由 Fortinet 產品安全團隊的 Gwendal Guégniaud 在內部發現，是由 SQL 命令中使用的特殊元素的未正確中和引起的。

遠端未經驗證的攻擊者可以透過向暴露在網路上的 FortiClient EMS 管理介面發送特製的 HTTP 請求來利用此漏洞，並可能執行未經授權的程式碼或命令。

CVE-2026-21643僅影響執行 FortiClientEMS v7.4.4 的部署。該漏洞已於 2026 年 12 月在 7.4.5 版本中修復。

2026 年 3 月初，Bishop Fox 的研究人員發表了對此漏洞的技術分析，並指出了實際的利用途徑。

「FortiClient EMS 自 7.4.4 版本之前就支援多租戶部署，允許單一實例管理多個客戶站點。7.4.4 版本重構了中間件堆疊和資料庫連接層，作為該功能演進的一部分，但同時也引入了一個嚴重缺陷：用於標識請求所屬的 HTTP 標頭查詢現在未經清理直接傳遞到資料庫中，並且發生在任何資料庫中檢查。

「攻擊者只需透過HTTPS存取EMS Web介面，無需任何憑證即可利用此漏洞。只需發送一個帶有精心構造的HTTP請求頭的請求，即可對後端PostgreSQL資料庫執行任意SQL語句。這使得攻擊者能夠獲取管理員憑證、終端清單資料、安全策略以及受管終端的憑證。」

升級到修復版本

根據 Fortinet 的公告，FortiClientEMS 7.2 和 8.0 版本不受影響。Bishop Fox 的研究人員建議，已啟用多租戶模式並執行 FortiClient EMS 7.4.4 的組織應立即升級至 7.4.5 版本。他們補充說：“單站點部署不受影響。”Defused Cyber 表示，根據 Shodan 的數據，近 1000 個 Forticlient EMS 實例已公開暴露。目前尚不清楚其中有多少實例在多租戶模式下運行存在漏洞的軟體版本。

資料來源：https://www.helpnetsecurity.com/2026/03/30/forticlient-ems-cve-2026-21643-reported-exploitation/