Fortinet修复FortiClient EMS关键漏洞CVE-2026-35616

Fortinet发布紧急补丁修复FortiClient EMS严重安全漏洞，该漏洞已在野外被攻击者利用。

这个漏洞编号为CVE-2026-35616，CVSS评分高达9.1，被描述为身份验证前API访问绕过导致权限提升的安全缺陷。

Fortinet在周六发布的安全公告中表示："FortiClient EMS中的访问控制不当漏洞可能允许未经身份验证的攻击者通过精心制作的请求执行未经授权的代码或命令。"

该漏洞影响FortiClient EMS版本7.4.5至7.4.6。预计将在即将发布的7.4.7版本中完全修复，不过公司已经发布了热修复补丁来解决这个问题。

来自Defused Cyber的Simo Kohonen和Nguyen Duc Anh因发现并报告此漏洞而获得致谢。Defused Cyber在X平台上发帖称，他们在本周早些时候观察到CVE-2026-35616的零日漏洞利用。据watchTowr称，针对CVE-2026-35616的利用尝试最早于2026年3月31日在其蜜罐中记录到。

成功利用此漏洞可能允许未经身份验证的攻击者绕过API身份验证和授权保护，通过精心制作的请求执行恶意代码或命令。

"Fortinet已观察到此漏洞在野外被利用，强烈建议受影响的客户为FortiClient EMS 7.4.5和7.4.6安装热修复补丁，"该公司补充说。

这一事件发生在另一个最近修复的FortiClient EMS关键漏洞（CVE-2026-21643，CVSS评分：9.1）被积极利用的几天后。目前尚不清楚是否是同一个威胁行为者在利用这两个漏洞，以及它们是否被联合武器化。

鉴于这些漏洞的严重性，建议用户尽快将FortiClient EMS更新到最新版本。

watchTowr首席执行官兼创始人Benjamin Harris告诉The Hacker News："这个零日漏洞在野外利用活动加剧的时机可能并非巧合。"

"攻击者反复表明，假期周末是行动的最佳时机。安全团队人手不足，待命工程师注意力分散，从入侵到检测的时间窗口从几小时延长到几天。复活节和其他任何假期一样，代表着机会。"

"令人失望的是更大的图景。这是几周内FortiClient EMS出现的第二个未经身份验证的漏洞。"

"因此，再次强调，运行FortiClient EMS并暴露在互联网上的组织应该将此视为紧急响应情况，而不是周二早上才处理的事情。应用热修复补丁。攻击者已经抢占先机。"

美国网络安全和基础设施安全局（CISA）于2026年4月6日将CVE-2026-35616添加到其已知被利用漏洞（KEV）目录中，要求联邦民用执行部门机构在2026年4月9日之前应用必要的修复措施。

Q&A

Q1：CVE-2026-35616漏洞有多严重？

A：CVE-2026-35616是一个CVSS评分高达9.1的关键漏洞，属于身份验证前API访问绕过导致权限提升的安全缺陷。未经身份验证的攻击者可以通过精心制作的请求执行未经授权的代码或命令，已被确认在野外被积极利用。

Q2：哪些FortiClient EMS版本受到影响？

A：该漏洞影响FortiClient EMS版本7.4.5至7.4.6。Fortinet已经发布了热修复补丁来解决这个问题，预计将在即将发布的7.4.7版本中完全修复。

Q3：为什么攻击者选择在假期周末利用漏洞？

A：据专家分析，假期周末是攻击者行动的最佳时机，因为安全团队人手不足，待命工程师注意力分散，从入侵到检测的时间窗口从几小时延长到几天，给攻击者更多机会成功实施攻击。