Vulnerabilidades críticas en Fortinet 2026
Vulnerabilidad crítica - 28/01
Introducción
CVE-2026-24858 es una vulnerabilidad zero-day que ha estado siendo explotada en el mundo real y afecta a varios productos de seguridad de Fortinet.
Análisis
CVE-2026-24858 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:H/RL:O/RC:C - 9,4
CVE-2026-24858 permite a un atacante con una cuenta de FortiCloud y un dispositivo registrado iniciar sesión en otros dispositivos de Fortinet registrados en otras cuentas si la autenticación FortiCloud SSO está habilitada en esos dispositivos. La vulnerabilidad está siendo explotada activamente. Los atacantes han aprovechado la vulnerabilidad para acceder a dispositivos, crear cuentas de administrador locales, modificar configuraciones y posiblemente exfiltrar datos. La función FortiCloud SSO no está habilitada por defecto en todos los dispositivos, por lo que el riesgo depende de la configuración específica de cada instalación.
Versiones afectadas
- FortiAnalyzer 7.0 versión 7.0.0 a 7.0.15
- FortiAnalyzer 7.2 versión 7.2.0 a 7.2.11
- FortiAnalyzer 7.4 versión 7.4.0 a 7.4.9
- FortiAnalyzer 7.6 versión 7.6.0 a 7.6.5
- FortiManager 7.0 versión 7.0.0 a 7.0.15
- FortiManager 7.2 versión 7.2.0 a 7.2.11
- FortiManager 7.4 versión 7.4.0 a 7.4.9
- FortiManager 7.6 versión 7.6.0 a 7.6.5
- FortiOS 7.0 versión 7.0.0 a 7.0.18
- FortiOS 7.2 versión 7.2.0 a 7.2.12
- FortiOS 7.4 versión 7.4.0 a 7.4.10
- FortiOS 7.6 versión 7.6.0 a 7.6.5
- FortiProxy 7.0 todas las versiones
- FortiProxy 7.2 todas las versiones
- FortiProxy 7.4 versión 7.4.0 a 7.4.12
- FortiProxy 7.6 versión 7.6.0 a 7.6.4
Recomendaciones
Actualizar los dispositivos afectados.
Workarounds
La autenticación SSO de FortiCloud ya no admite el inicio de sesión desde dispositivos que ejecutan versiones vulnerables, por lo que no es necesario deshabilitar el inicio de sesión SSO de FortiCloud en el cliente.
Referencias
- https://fortiguard.fortinet.com/psirt/FG-IR-26-060
- https://www.cisa.gov/news-events/alerts/2026/01/27/cisa-adds-one-known-exploited-vulnerability-catalog
- https://www.hkcert.org/security-bulletin/fortinet-products-security-restriction-bypass-vulnerability_20260128
- https://thehackernews.com/2026/01/fortinet-patches-cve-2026-24858-after.html
Vulnerabilidad crítica - 10/02
Introducción
CVE-2026-21643 es una vulnerabilidad de inyección SQL (SQLi) que se encuentra en la funcionalidad de FortiClientEMS 7.4.4. La falla se debe a una neutralización inadecuada de elementos especiales en comandos SQL, lo que permite que un atacante remoto inyecte código malicioso a través de solicitudes HTTP específicamente diseñadas. La vulnerabilidad se explota al enviar solicitudes HTTP especialmente construidas a interfaces web o API que procesan entradas sin validación. Debido a la falta de neutralización de caracteres especiales, la entrada inyectada modifica la intención original de la consulta SQL y puede transformarse en una instrucción dañina o en ejecución de código en el servidor.
Análisis
CVE-2026-21643 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9,8
La explotación se basa en enviar solicitudes HTTP maliciosas al componente web del FortiClientEMS que no valida correctamente los parámetros antes de incorporarlos a consultas SQL. Esto permite inyectar sentencias SQL que pueden ser encadenadas para acceder o modificar datos en la base de datos, ejecutar código en el servidor y comprometer el sistema. El mecanismo técnico probable de explotación incluye la inyección de metacaracteres SQL que alteran la estructura de consultas compuestas con cadenas de entrada, el encadenamiento de técnicas de SQLi a ejecución de comandos del sistema operativo y la manipulación de parámetros en API web o formularios no validados, aprovechando la interfaz del servidor administrativo.
Recomendaciones
Actualizar a la versión 7.4.5 o superior. Las versiones 8.0 y 7.2 no están afectadas.
Workarounds
No hay workarounds para esta vulnerabilidad.
Referencias
- https://fortiguard.fortinet.com/psirt/FG-IR-25-1142
- https://ciberseguridad.euskadi.eus/noticia/2026/vulnerabilidad-de-inyeccion-sql-sqli-en-la-interfaz-administrativa-que-afecta-a-forticlient-ems/webcyb00-contcibglos/es/
- https://thehackernews.com/2026/02/fortinet-patches-critical-sqli-flaw.html
Vulnerabilidad crítica - 06/04
Introducción
CVE‑2026‑35616 afecta a Fortinet FortiClient EMS, un sistema de gestión centralizada empleado para administrar clientes y políticas de seguridad en endpoints corporativos. Esta falla se debe a un problema de control de acceso (CWE‑284) que permite a un atacante remoto sin necesidad de autenticación enviar solicitudes manipuladas al API del sistema, con el potencial de ejecutar código o comandos de manera no autorizada y comprometer la confidencialidad, integridad y disponibilidad de los sistemas administrados. La explotación de esta vulnerabilidad no requiere interacción por parte de usuarios legítimos y puede ser realizada directamente a través de la red, lo que aumenta su riesgo operativo. Esta vulnerabilidad ha sido explotada.
Análisis
CVE-2026-35616 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9,8
CVE‑2026‑35616 se origina en un defecto de control de acceso en la API del sistema, lo que permite que un actor no autenticado envíe solicitudes maliciosas que el servidor procesa sin validar correctamente su autorización. Esta deficiencia puede derivar en la ejecución remota de comandos, comprometiendo de manera directa la confidencialidad, integridad y disponibilidad de los sistemas gestionados.
El mecanismo de explotación se basa en la capacidad de enviar peticiones manipuladas que el servidor EMS interpreta como válidas. Una vez ejecutadas, estas peticiones pueden otorgar al atacante control total sobre el servidor, incluyendo la modificación de políticas de seguridad y la gestión de endpoints. La vulnerabilidad es crítica debido a que no requiere privilegios previos ni interacción del usuario, y puede ser explotada desde cualquier ubicación con acceso a la red del servidor afectado. Esto aumenta significativamente el riesgo de compromiso de la infraestructura corporativa, incluyendo la posibilidad de movimientos laterales y exfiltración de información sensible.
Versiones afectadas
FortiClientEMS 7.4.5 hasta 7.4.6.
Recomendaciones
- Actualizar FortiClient EMS a una versión parcheada
- Reducir la exposición de la interfaz vulnerable mientras se parchea
- Inspección de logs de API, eventos de comando remoto y actividad anómala
Workarounds
No hay workarounds para esta vulnerabilidad.