Fortinet 发布紧急安全更新以修复关键的 SQL 注入漏洞(CVE-2026-21643)影响其 FortiClientEMS 产品。该缺陷可能允许未经身份验证的远程攻击者通过向管理界面发送精心设计的 HTTP 请求来在易受攻击的服务器上执行未经授权的代码或命令。
根据强化卫士实验室,根本问题是 SQL 命令中特殊元素的不正确中和,通常称为 SQL 注入。此类缺陷使攻击者能够操纵数据库查询,如果不及时修补,可能会危及整个系统。
“对 SQL 命令(‘SQL 注入’)漏洞中使用的特殊元素进行不当中和......可能允许未经身份验证的攻击者通过特制的 HTTP 请求执行未经授权的代码或命令,”飞塔说在其咨询中。
该缺陷的 CVSS 评分高达 9.8 分(满分 10 分),反映了其严重性及其对受影响环境的广泛影响。
Fortinet 确认只有某些版本受到影响,立即修补对于避免危害至关重要。
漏洞的范围
CVE-2026-21643 影响 FortiClientEMS 的特定版本,FortiClientEMS 是许多企业用来实施安全策略和管理端点代理的集中式端点管理解决方案。成功利用该漏洞可能使攻击者能够在 FortiClientEMS 服务器上运行任意代码,从而为进一步入侵或数据泄露创建途径。
受影响和不受影响的版本:
| FortiClientEMS版本 | 地位 |
|---|---|
| 7.4.4 | 做作的(需要补丁) |
| 7.4.5及以上 | 固定的 |
| 7.2 | 不易受到攻击 |
| 8.0 | 不易受到攻击 |
此版本指南与 Fortinet 的官方建议一致。
为什么这很重要
FortiClientEMS 是许多企业安全堆栈中的核心组件。它管理端点策略、分发代理并提供数千台计算机的可见性。此级别的妥协可以为威胁行为者提供立足点:
- 对内部系统发起横向攻击
- 修改安全策略
- 访问敏感业务数据
- 纳入关闭或规避其他保护控制措施
网络安全分析师强调SQL 注入仍然是最危险的 Web 应用程序漏洞之一,尤其是在未经身份验证且可公开访问的情况下。
官方声明和观察
Fortinet 的安全团队将产品安全部门的 Gwendal Guégniaud 视为该缺陷的发现者。
截至本报告发布之时,尚无证实的证据表明存在在野外进行积极利用的情况。然而,安全专家警告称,一旦细节公布,威胁行为者可能会迅速对补丁进行逆向工程并开始利用。
政府机构也认识到了这一风险。这新加坡网络安全局 (CSA)发布公告,敦促管理员立即更新 FortiClientEMS,以缓解该漏洞并防止潜在的危害。
管理员应该做什么
为了保护系统和网络免受涉及 CVE-2026-21643 的可能攻击,管理员应该:
- 立即将 FortiClientEMS 更新到版本 7.4.5 或更高版本。
- 限制 EMS 管理界面仅暴露给内部可信网络。
- 监视 HTTP 请求日志中是否存在异常或可疑的输入模式。
- 实施网络访问控制和分段,以减少来自不受信任网络的 EMS 服务器的可达性。
- 查看访问和身份验证日志以了解意外的管理操作。
主动修补和强化访问控制仍然是针对关键基础设施的 SQL 注入攻击的最有效防御措施。
什么是 CVE-2026-21643?
这是 FortiClientEMS 中的一个严重 SQL 注入漏洞,可能允许未经身份验证的远程攻击者通过精心设计的 HTTP 请求执行未经授权的代码。
哪些 FortiClientEMS 版本容易受到攻击?
仅 7.4.4 版本存在漏洞。更新到 7.4.5 或更高版本可以解决该问题。
是否有积极利用的证据?
截至目前,还没有经过验证的报告证实该漏洞在野外被利用,但由于该缺陷的严重性,防御者应该将风险视为高风险。
攻击者可以在没有凭据的情况下利用此漏洞吗?
是的。该缺陷未经身份验证,这意味着如果可以访问管理界面,攻击者无需登录即可触发该缺陷。
这个漏洞有多严重?
CVE-2026-21643 的 CVSS 评分高达 9.8,表明严重性严重,对机密性、完整性和可用性产生广泛影响。