Fortinet - CVE-2026-35616
Date de publication :
Il s'agit d'une vulnérabilité de contrôle d'accès incorrect (Improper Access Control) dans l'API de FortiClient EMS.
FortiClient EMS est une plateforme de gestion centralisée des agents FortiClient déployés sur les postes de travail. Elle orchestre les politiques de sécurité endpoint, les profils VPN et les configurations de conformité pour l'ensemble du parc d'une organisation. Elle constitue un composant critique de l'infrastructure de sécurité Fortinet.
Le mécanisme de vérification des droits sur certains endpoints de l'API ne valide pas correctement l'identité ni les autorisations de l'émetteur des requêtes. Un attaquant peut envoyer des requêtes HTTP forgées ciblant ces endpoints sans présenter de jeton d'authentification valide, contournant ainsi les couches d'authentification et d'autorisation de l'API. Le composant vulnérable se situe dans la couche de routage API du serveur EMS. Les premiers signes d'exploitation de cette vulnérabilité en zero-day ont été détectés dès le 31 mars 2026 par des honeypots.
Elle permet à un attaquant distant non authentifié d'exécuter du code ou des commandes arbitraires sur le serveur EMS, conduisant à une élévation de privilèges et à une compromission complète de la gestion des endpoints de l'organisation.
Informations
La faille est activement exploitée : Oui
Un correctif existe : Oui
Une mesure de contournement existe : Non
Élévation de privilèges
Exploitation
CWE-284 : Improper Access Control
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Une preuve de concept est disponible en sources ouvertes.
Systèmes ou composants affectés
FortiClient EMS versions 7.4.5 jusqu'à 7.4.6