【要点】
◎FortiClient EMSに認証不要RCE脆弱性、CVSS9.8。既に悪用され緊急対応が必要 (Security NEXT)
【脆弱性内容】 (★: 本ブログ内の詳細記事リンク)
| ★ | 公開日 |
登録日 |
CVE番号 |
NVD |
ベンダー |
CVSS v4 |
CVSS v3 |
CWE |
脆弱性 |
KEV |
備考 |
|---|---|---|---|---|---|---|---|---|---|---|---|
| ★ | 2026/04/04 | 2026/04/03 | CVE-2026-35616 | NVD | Fortinet | - | 9.8(Fortinet) |
CWE-284 | 不適切なアクセス制御 | 2026/04/06 | FortiClientEMS |
【要約】
Fortinetのエンドポイント管理製品FortiClient Endpoint Management Serverに、認証不要でコード実行が可能となる重大な脆弱性CVE-2026-35616が判明した。APIのアクセス制御不備に起因し、CVSSスコアは9.8と極めて高い。対象は7.4.5および7.4.6で、既に実環境での悪用が確認されている。同社はホットフィックスを提供しており、早急な適用が強く推奨される。正式修正は次期バージョン7.4.7で予定されている。
【ニュース】
◆「FortiClient EMS」に深刻な脆弱性、すでに悪用 - ホットフィクス適用を (Security NEXT, 2026/04/04)
https://www.security-next.com/183000
