Identifican una vulnerabilidad de alto riesgo en el Fortinet FortiClient EMS
- Actualidad
Se ha identificado una vulnerabilidad crítica, CVE-2026-35616, en el Fortinet FortiClient EMS (Endpoint Management System), que afecta a las versiones 7.4.5 y 7.4.6, y que permite la ejecución remota de comandos o código sin autenticación a través de su interfaz de gestión. La gravedad de este fallo ha sido evaluada como CVSS 9.1, lo que indica un nivel crítico de riesgo.
Fortinet publicó su alerta de seguridad el 4 de abril, a través de su aviso oficial FG-IR26-099, en el que describe la naturaleza de la vulnerabilidad y las versiones afectadas. En este comunicado, el fabricante confirma además que la vulnerabilidad está siendo explotada activamente en entornos reales, lo que incrementa significativamente el nivel de amenaza asociado.
En su comunicado, Fortinet detalla que el fallo afecta al mecanismo de control de acceso en la API de FortiClient EMS, permitiendo que un atacante remoto no autenticado pueda interactuar con funcionalidades protegidas del sistema2.
La vulnerabilidad CVE-2026-35616 se origina por un fallo de control de acceso incorrecto (CWE284) en la API de FortiClient EMS, concretamente en la gestión de autenticación y autorización de las solicitudes entrantes. Esta debilidad permite que peticiones especialmente manipuladas puedan eludir completamente los mecanismos de validación implementados por el sistema.
Como consecuencia, un atacante remoto no autenticado puede acceder a endpoints restringidos de la API y ejecutar acciones que normalmente requieren privilegios elevados. Entre estas acciones se incluye la posibilidad de ejecutar comandos o código en el sistema afectado, sin necesidad de credenciales válidas ni interacción por parte del usuario.
El vector de ataque presenta una baja complejidad de explotación, ya que no requiere condiciones previas ni acceso inicial al entorno, lo que facilita su aprovechamiento por parte de actores maliciosos. Este tipo de vulnerabilidad resulta especialmente crítico en sistemas expuestos a redes públicas o accesibles desde Internet.
El impacto asociado es elevado, ya que una explotación exitosa puede derivar en el compromiso total de la confidencialidad, integridad y disponibilidad del sistema. Esto incluye el acceso no autorizado a información sensible, la modificación de configuraciones o datos gestionados, y la posibilidad de utilizar el sistema comprometido como punto de entrada para movimientos laterales dentro de la red.
Adicionalmente, el Instituto Nacional de Estándares y Tecnología (NIST), a través de la base de datos NVD, clasifica esta vulnerabilidad con un alto impacto en confidencialidad, integridad y disponibilidad, lo que refuerza la necesidad de aplicar medidas correctivas de forma prioritaria.
