CVE-2026-21643

CVSS 9.1 CRITICALEPSS 94.1%● KEVCWE-89

En resumen

FortiClientEMS 7.4.4 tiene una falla que permite a los atacantes inyectar código SQL malicioso a través de solicitudes HTTP sin necesidad de autenticarse. Esto puede resultar en acceso no autorizado, robo de datos o compromiso del sistema.

Detalle técnico

Vulnerabilidad de inyección SQL en Fortinet FortiClientEMS 7.4.4 permite que atacantes no autenticados manipulen consultas SQL mediante solicitudes HTTP especialmente elaboradas, lo que potencialmente conduce a la ejecución de comandos arbitrarios. La vulnerabilidad resulta de una falla en la validación e sanitización inadecuada de datos proporcionados por el usuario en la construcción de comandos SQL, permitiendo que los atacantes eludan la autenticación y ejecuten código no autorizado.

Resumen generado y traducido por IA a partir de la descripción oficial.

An improper neutralization of special elements used in an sql command ('sql injection') vulnerability in Fortinet FortiClientEMS 7.4.4 may allow an unauthenticated attacker to execute unauthorized code or commands via specifically crafted HTTP requests.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:F/RL:O/RC:C

Productos afectados

Fortinet · FortiClientEMS

PoCs públicas encontradas — 1

cve_referencegithub.com/0xBlackash/CVE-2026-21643/blob/main/cve-2026-21643.pyno verificado

⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://fortiguard.fortinet.com/psirt/FG-IR-25-1142 https://github.com/0xBlackash/CVE-2026-21643/blob/main/cve-2026-21643.py https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-21643