Fortinet 發布了安全性更新，以解決影響 FortiClientEMS 的一個嚴重漏洞，該漏洞可能導致在易受攻擊的系統上執行任意程式碼。此漏洞編號為CVE-2026-21643，CVSS 評分為 9.1（滿分為 10.0）。

Fortinet在一份安全公告中表示：FortiClientEMS 中 SQL 命令（‘SQL 注入’）漏洞 [CWE-89] 中使用的特殊元素處理不當，可能允許未經身份驗證的攻擊者通過精心構造的 HTTP 請求執行未經授權的代碼或命令。此缺陷影響以下版本——

FortiClientEMS 7.2（不受影響）

FortiClientEMS 7.4.4（請升級至 7.4.5 或更高版本）

FortiClientEMS 8.0（不受影響）。

同時，該公司還解決了 FortiOS、FortiManager、FortiAnalyzer、FortiProxy、FortiWeb 中的另一個嚴重漏洞（CVE-2026-24858，CVSS 評分：9.4），該漏洞允許擁有 FortiCloud 帳戶和已註冊設備的攻擊者登錄到其他帳戶的設備，前提是這些設備上驗證 FortiCloud 帳戶和已註冊設備的用戶身份登錄到其他帳戶的設備，前提是這些設備上驗證了 FortiCloud 身份。

Fortinet 已經承認，該問題已被惡意行為者積極利用，以建立本機管理員帳戶以實現持久性，進行設定變更以授予這些帳戶 VPN 存取權限，並竊取防火牆設定。

資料來源：https://thehackernews.com/2026/02/fortinet-patches-critical-sqli-flaw.html