Laburpen exekutiboa
SQL injekzioaren ahultasun kritiko bat (CVE-2026-21643) atzeman da Fortinet FortiClient EMS 7.4.4 bertsioan. Ahultasun horrek aukera eman diezaioke autentifikaziorik gabeko erasotzaile bati baimenik gabeko kodea edo komandoak exekutatzeko, manipulatutako HTTP eskaeren bidez. Ahultasun honek berehalako mehatxua dakar, kaltetutako sistemetan urruneko komandoen exekuzioa ahalbidetzen baitu. CVSS 9.8ko puntuazioa duenez, funtsezkoa da erakundeek eskuragarri dauden zuzenketak aplikatzea, aringarri-neurriak ez hartzeak segurtasun-konpromiso larriak eragin baititzake.
Eragindako baliabideak
- FortiClientEMS 7.4 (7.4.4)
Azterketa teknikoa
- CVE-2026-21643: Fortinet FortiClientEMS 7.4.4-n SQL injezio ahultasun batek eraso egile batek autentifikatu gabe kodea edo baimenik gabeko aginduak exekutatu ditzake HTTP eskaera bereziki diseinatuekin. Potentzialeko eragina sistema eragindakoan agindu ez desiratuen exekuzioa da. Ahultasun hau aprobetxatzeko, eraso egileak software eragindakoari eskaera HTTP zehatzak bidali behar ditu.
- CWE-89
- CVSS: 9.8 (kritikoa)
- CVSS bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- Esplotazioa: Ez da detektatu
Arintzea/Konponbidea
FortiClientEMS 7.4-n CVE-2026-21643 ahultasuna arintzeko, FortiClientEMS bertsio 7.4-ko erabiltzaileei 7.4.5 edo goiko bertsiora eguneratzea gomendatzen zaie. 8.0 eta 7.2 bertsioek ez dute eraginik, beraz, ez dute inolako ekintza gehigarririk behar.