Fortinet corrige une SQLi critique dans FortiClientEMS (CVE-2026-21643)
Selon un avis PSIRT de Fortinet publié le 6 février 2026, une vulnérabilité critique d’injection SQL affecte FortiClientEMS. Vulnérabilité: Injection SQL (CWE-89) dans l’interface d’administration (composant GUI), exploitable via des requêtes HTTP spécialement conçues. Impact: Exécution non autorisée de code ou de commandes (score CVSSv3 9.1 – Critique), sans authentification requise. CVE: CVE-2026-21643 | IR: FG-IR-25-1142. Produits/versions concernés: FortiClientEMS 7.4.4: affecté → corriger en 7.4.5 ou supérieur. FortiClientEMS 8.0: non affecté. FortiClientEMS 7.2: non affecté. Le 2026-02-06, FortiEMS Cloud a été retiré de la note car non affecté. Chronologie: ...