Se está explotando activamente la vulnerabilidad crítica CVE-2026-21643 en Fortinet FortiClient EMS, una inyección SQL que podría permitir ataques sin autenticación y derivar en ejecución de comandos/código. La recomendación principal es actualizar de FortiClient EMS 7.4.4 a 7.4.5 o superior y reducir la exposición del GUI web a Internet.
Una vulnerabilidad crítica identificada como CVE-2026-21643 en Fortinet FortiClient EMS está siendo explotada activamente, según la información publicada por BleepingComputer. El fallo se describe como una inyección SQL que puede ser aprovechada por atacantes sin autenticación, lo que eleva de forma notable el riesgo para organizaciones que tengan el servicio accesible desde Internet. En el escenario más grave, la explotación permitiría llegar a ejecución de comandos o código en sistemas que no estén parcheados, un tipo de impacto que suele facilitar intrusiones completas en el entorno afectado.
El vector señalado se sitúa en el GUI web de FortiClient EMS, accesible mediante peticiones HTTP manipuladas. El artículo recoge que una técnica observada consistiría en inyectar o alterar sentencias SQL usando el encabezado HTTP Site, lo que apunta a una superficie de ataque relativamente directa para quien pueda alcanzar el interfaz de administración por red. Aunque la publicación no aporta indicadores de compromiso específicos ni detalles exhaustivos de la cadena de explotación, sí insiste en que la actividad maliciosa ya se está viendo ‘en ataques’, lo que convierte el parcheo en una tarea prioritaria.
Otro elemento relevante es la magnitud de la exposición. Fuentes citadas en el artículo mencionan en torno a 1.000 instancias públicas detectadas mediante Shodan, y también se referencia el seguimiento de The Shadowserver Foundation, que habría observado más de 2.000 instancias con el interfaz web expuesto, con una concentración importante de direcciones IP en Estados Unidos y Europa. Estas cifras no implican necesariamente que todas estén comprometidas, pero sí sugieren una ventana de oportunidad amplia para campañas automatizadas de escaneo y explotación.
En cuanto a mitigación, la guía práctica es clara: actualizar FortiClient EMS desde la versión 7.4.4 (vulnerable) a 7.4.5 o posterior. Además, dado que el componente atacable es el interfaz web de administración, conviene revisar si la consola está publicada en Internet y, en caso afirmativo, limitar su acceso (por ejemplo, detrás de VPN, mediante listas de permitidos o retirándola de la exposición pública). En paralelo, resulta prudente intensificar la monitorización del tráfico hacia el GUI y revisar registros buscando patrones anómalos relacionados con peticiones HTTP y el uso inusual del encabezado Site, especialmente en sistemas que no se hayan podido actualizar de inmediato.
El contexto general también importa: el artículo recuerda que vulnerabilidades en productos de Fortinet han sido aprovechadas con frecuencia en operaciones de alto impacto, incluidos incidentes vinculados a ransomware y actividades de intrusión más sofisticadas. Por ello, en entornos donde FortiClient EMS tenga un papel central de gestión, la combinación de explotación activa, posible RCE/command execution y exposición pública convierte a CVE-2026-21643 en un riesgo operativo que requiere respuesta rápida y comprobaciones de exposición y hardening.
Más información
- BleepingComputer: https://www.bleepingcomputer.com/news/security/critical-fortinet-forticlient-ems-flaw-now-exploited-in-attacks/
