← voltar
CVE-2026-21643

CVE-2026-21643

CVSS 9.1 CRITICALEPSS 94.1%● KEVCWE-89
Em resumo

O FortiClientEMS 7.4.4 possui uma falha que permite que invasores injetem código SQL malicioso através de requisições HTTP sem precisar fazer login. Isso pode resultar em acesso não autorizado, roubo de dados ou comprometimento do sistema.

Detalhe técnico

Vulnerabilidade de injeção SQL no Fortinet FortiClientEMS 7.4.4 permite que atacantes não autenticados manipulem consultas SQL através de requisições HTTP especialmente construídas, potencialmente levando à execução de comandos arbitrários. A vulnerabilidade resulta de falha na validação e sanitização inadequada de dados fornecidos pelo usuário na construção de comandos SQL, permitindo que atacantes contornem autenticação e executem código não autorizado.

Resumo gerado e traduzido por IA a partir da descrição oficial.
An improper neutralization of special elements used in an sql command ('sql injection') vulnerability in Fortinet FortiClientEMS 7.4.4 may allow an unauthenticated attacker to execute unauthorized code or commands via specifically crafted HTTP requests.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:F/RL:O/RC:C
Produtos afetados
Fortinet · FortiClientEMS
PoCs públicas encontradas1
cve_referencegithub.com/0xBlackash/CVE-2026-21643/blob/main/cve-2026-21643.pynão verificado
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://fortiguard.fortinet.com/psirt/FG-IR-25-1142https://github.com/0xBlackash/CVE-2026-21643/blob/main/cve-2026-21643.pyhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-21643