CISA zařadila 6. dubna 2026 do katalogu aktivně zneužívaných zranitelností CVE-2026-35616 – kritickou zranitelnost umožňující vzdálené spuštění kódu bez autentizace v systému Fortinet FortiClient Enterprise Management Server (EMS).

Zranitelnost (CVSS 9,1) spočívá v nesprávné kontrole přístupu v API rozhraní. Útočník může speciálně sestaveným HTTP požadavkem obejít autentizaci a spustit libovolný kód na serveru. Jde tedy o unauthenticated RCE.

FortiClient EMS slouží jako centrální management pro tisíce koncových zařízení s FortiClientem. Kompromitace tohoto serveru umožňuje útočníkovi převzít kontrolu nad celou endpoint ochranou organizace.

• FortiClient EMS 7.4.5 a 7.4.6

Zranitelnost byla aktivně zneužívána již od 31. března 2026 (zero-day). Fortinet vydal nouzový hotfix a plánuje kompletní opravu v verzi 7.4.7. Shadowserver Foundation detekovala přes 2 000 veřejně dostupných instancí EMS na internetu, z nichž některé byly aktivně napadány.